copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

PAS 96 : 2017

bebidas de ataque deliberado

Guía para la protección y defensa de los alimentos y
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

Publicaciones e información de derechos de autor

El aviso de copyright BSI está representada en este documento indica que el documento fue emitido el pasado.

© The British Standards Institution 2017. Publicado por BSI Normas Limited 2017.

ISBN 978 0 580 98 099 2

ICS 67.020

Prohibida la reproducción sin permiso BSI excepción de lo permitido por la ley de derechos de autor.

historia de la publicación

Primero publicado en marzo de 2008 Segunda edición de

marzo 2010 Tercera edición de octubre 2014 Cuarta (actual)

2017 edición de noviembre

 PAS 96: 2017

Contenido

Prefacio .................................................. .................................................. ii

Introducción .................................................. .............................................. iv

1 Alcance .................................................. .................................................. .... 1

2 Términos y definiciones .................................................. ........................... 1

3 Tipos de amenaza .................................................. ...................................... 4

4 Comprender el atacante .................................................. ................. 8

5 Evaluación de amenazas y Puntos Críticos de Control (TACCP) ................................ 10

Evaluación 6 .................................................. ............................................ 13

7 controles críticos .................................................. ..................................... dieciséis

8 Respuesta a un incidente .................................................. ....................... 18

copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

9 Examen de las disposiciones de protección de alimentos ............................................ 19

Anexos
Estudios Anexo A (informativo) TACCP de casos ................................................ 20 Anexo B (informativo)
Las fuentes de información e inteligencia sobre riesgos emergentes al suministro de alimentos ..................................................
.................. 41 Anexo C (informativo) Complementaria se acerca a la protección de los alimentos y
bebidas .................................................. .................................................. 43 Anexo D (informativo) 10
Pasos para la seguridad cibernética: una responsabilidad a nivel de placa) ..................................................
............................................ 44 Bibliografía .................................................. .............................................. 45

Lista de Figuras
Figura 1 - la cadena alimentaria .................................................. ................ 2
Figura 2 - proceso TACCP Esquema .................................................. ............ 11 Figura 3 - matriz de
puntuación de riesgo .................................................. .................. 15 Figura A.1 identificación de amenazas
........................................... ...................... 22
Figura A.2 - priorización de amenazas .................................................. ........... 28 Figura A.3 -
Evaluación de la vulnerabilidad .................................................. ..... 30 Figura A.4 - FryByNite flujo de
trabajo .................................................. ............ 31 Figura A.5 - priorización de amenazas ..................................................
........... 35 Figura A.6 - priorización de amenazas .................................................. ........... 40 Figura B.1 -
Difusión mundial de información e inteligencia sobre los nuevos riesgos a los alimentos ..................................................
............................. 42

Lista de tablas
Tabla 1 - Evaluación del riesgo de puntuación .................................................. ............ 15 Tabla 2 -
Enfoques para la reducción del riesgo .................................................. .. 16 Tabla 3 - evidencia de
manipulación .................................................. ...................... 17 Tabla 4 - Seguridad del personal ..................................................
..................... 17 Tabla A.1 - Información de la amenaza .................................................. ............... 21
Tabla A.2 - identificación de amenazas .................................................. ............. Evaluación de amenazas -
A.3 Tabla 23 .................................................. ................. informe de evaluación de amenazas 20170602 -
26 de A.4 poder ........................................ 29 Cuadro A.5 - Información de la amenaza ..................................................
................ Evaluación de amenazas - A.6 Tabla 32 .................................................. ................. 33 Tabla
A.7 - Registro Amenaza .................................................. ....................... 36 Cuadro A.8 - Las posibles
fuentes de actividad maliciosa que afectan F. Armer y hijas Ltd ..................................................
............................................ Evaluación de amenazas - A.9 Tabla 38 ..................................................
.................. 39

© la British Standards Institution 2017 yo

 PAS 96: 2017

Prefacio
Este PAS fue patrocinado por el Departamento de Asuntos de Medio Ambiente, Alimentación y
Rurales (DEFRA) y la Food Standards Agency (FSA). Su desarrollo fue facilitado por BSI Normas
limitada y se publicó bajo licencia de The British Standards Institution. Que entró en vigor el 16 de
noviembre 2017.

Se agradece a las siguientes organizaciones que participaron en el Este PAS no debe ser considerado como un estándar británico. Será retirada
desarrollo de esta PAS como miembros del grupo de dirección: cuando se publique su contenido en, o como, un estándar británico.

• Agrico UK Limited
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

El proceso de PAS permite una guía que se desarrolló rápidamente con el fin de
• Federación Británica de Alimentos Congelados (BFFF)
satisfacer una necesidad inmediata en la industria. Un PAS se puede considerar
• Campden BRI para su posterior desarrollo como un estándar británico, o constituyen parte de la
• Crowe Clark Whiteh yo ll LLP entrada del Reino Unido en el desarrollo de un europeo o Norma Internacional.

• Danone

• Departamento de Asuntos de Medio Ambiente, Alimentación y Rurales (DEFRA)

• Food Standards Agency

Sustitución
• GIST Limited
PAS PAS Este remplaza 96: 2014, que se retira.
• Europa McDonald

• Centro Nacional de Seguridad Cibernética (NSCS)

• Sodexo Limited Información sobre este documento

• Tesco Reino Unido Esta es una revisión completa de la PAS 96: 2014, e introduce los siguientes
• tulipán Limited cambios principales:

• University College de Londres • referencias normativas e informativas se han actualizado;

• Willis Towers Watson

• subcláusula 3.7 Cyber-crimen ha sido revisado;
El reconocimiento también se da a los miembros de un panel de • subcláusula 6.2.4 añadido a las vulnerabilidades de cobertura relacionadas con los ataques
revisión más amplia que fueron consultados en el desarrollo de esta cibernéticos;
PAS.
• dos nuevos estudios de caso de ficción se han añadido como los incisos A.5 y A.6
para ilustrar los problemas de seguridad cibernética;
La British Standards Institution conserva la propiedad y derechos de autor
de esta PAS. BSI Normas Limited como el editor de las reservas de PAS el
derecho de retirar o modificar esta PAS a la recepción de asesoramiento • Anexo B actualiza;

autorizado que es apropiado hacerlo. Este PAS será revisado a intervalos • Anexo D añadió que cubre 10 pasos a la seguridad cibernética;
no superiores a dos años, y todas las modificaciones derivadas de la • Se han realizado algunas modificaciones en la redacción.
revisión se publicó como un PAS modificada y publicidad en las normas de
actualización.

ii © la British Standards Institution 2017

 PAS 96: 2017

El uso de este documento

A modo de guía, esta PAS toma la forma de orientaciones y recomendaciones. No

debe ser citado como si se tratara de una especificación o un código de prácticas
y demandas de cumplimiento no se pueden hacer a la misma.

convenciones de presentación

La orientación en este estándar se presenta en roman tipo (es decir en

posición vertical). Las recomendaciones se expresan en frases en las que
el director verbo auxiliar es “debe”.

Comentario, explicación y material informativo en general se presentan en

letra cursiva más pequeño, y no constituyen un elemento normativo.
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

consideraciones contractuales y legales

Esta publicación no pretende incluir todas las disposiciones necesarias de

un contrato. Los usuarios son responsables de su correcta aplicación.

El cumplimiento de un PAS puede conferir inmunidad no de las obligaciones

legales.

© la British Standards Institution 2017 iii

 PAS 96: 2017

Introducción
La industria alimentaria ve la seguridad de sus productos como su principal En él se explica el proceso TACCP, describe los pasos que pueden disuadir a un
preocupación. Con los años, la industria y los reguladores tienen sistemas de atacante o dar la detección temprana de un ataque, y utiliza estudios de casos
gestión de seguridad alimentaria desarrollados que significa que grandes brotes ficticios (véase el Anexo A) para mostrar su aplicación. En términos generales,
de intoxicación alimentaria son ahora bastante inusual en muchos países. Estos TACCP coloca gerentes de empresas alimentarias en la posición de un atacante
sistemas suelen utilizar Análisis de Peligros y Puntos Críticos de Control para anticipar su motivación, la capacidad y la oportunidad de llevar a cabo un
(HACCP), que son aceptados a nivel mundial. 1) ataque, y luego les ayuda a diseñar protección. También ofrece otras fuentes de
información e inteligencia que ayuda puede identificar las amenazas emergentes
HACCP ha demostrado ser eficaz contra la contaminación accidental. (véase el anexo B).

los principios del HACCP sin embargo, no se han utilizado de forma rutinaria
para detectar o mitigar los ataques deliberados contra un sistema o proceso. El proceso TACCP asume y se basa en un negocio operación eficaz del sistema
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

Tales ataques incluyen contaminación deliberada, intrusión electrónica, y el existente, ya que muchas precauciones tomadas para garantizar la seguridad de
fraude. actos deliberados pueden tener consecuencias para la seguridad los alimentos es probable que también disuadir o detectar actos deliberados.
alimentaria, pero pueden dañar a las organizaciones de otras maneras, como También complementa los procesos de gestión de riesgos de negocio y de
dañar la reputación comercial o extorsionar. gestión de incidencias existentes.

El factor común detrás de todos estos actos deliberados son las personas. Estas El enfoque de esta PAS es en la protección de la integridad y salubridad de los
personas pueden estar dentro de un negocio de comida, pueden ser empleados alimentos y el suministro de alimentos. Cualquier atacante intención, ya sea desde el
del proveedor de la empresa alimentaria, o pueden ser extraños completas sin interior de un negocio de comida o su cadena de suministro o externo a ambos, es
conexión con el negocio de comida. La cuestión clave es su motivación, que probable que intente eludir o evitar los procesos de gestión de rutina. Debe ayudar a
puede apuntar a causa daño a la salud humana, la reputación del negocio, o mitigar las empresas alimentarias cada una de estas amenazas, pero el enfoque
hacer ganancias financieras a expensas de la empresa. En cualquiera de estas también puede ser utilizado para otras amenazas de negocio.
situaciones es en interés de la empresa alimentaria para protegerse de este tipo
de ataques.

Ningún proceso puede garantizar que los alimentos y el suministro de alimentos

no son el objetivo de la actividad delictiva, pero el uso de PAS 96 puede hacer
El propósito de PAS 96 es guiar a los gerentes de empresas alimentarias a través de que sea menos probable. Se tiene la intención de ser una guía práctica y fácil de
enfoques y procedimientos para mejorar la capacidad de resistencia de las cadenas utilizar y así está escrito en el lenguaje cotidiano y se va a utilizar en un sentido
de suministro a fraude u otras formas de ataque. Su objetivo es asegurar la común en lugar de manera legalista.
autenticidad y la seguridad de los alimentos, reduciendo al mínimo la posibilidad de
un ataque y mitigar las consecuencias de un ataque exitoso.

PAS 96 describe Amenaza Puntos Críticos de Control de Evaluación (TACCP),

una metodología de la gestión de riesgos, que se alinea con HACCP, pero tiene
un enfoque diferente, que puede necesitar el aporte de los empleados de
diferentes disciplinas, tales como recursos humanos, compras, seguridad y
tecnología de la información.

1) Más información y orientación con respecto a HACCP se pueden encontrar en la

publicación del Codex Alimentarius, Principios Generales de Higiene de los Alimentos

[ 1].

iv © la British Standards Institution 2017

 PAS 96: 2017

1 Alcance 2 Términos y definiciones

Este PAS proporciona orientación sobre la prevención y mitigación de las amenazas a la A los efectos de esta PAS, se aplican los siguientes términos y
comida y el suministro de alimentos. En él se describe una metodología de la gestión de definiciones.
riesgos, la amenaza Puntos Críticos de Control Evaluación (TACCP), que puede ser

adaptada por las empresas alimentarias de todos los tamaños y en todos los puntos en las

cadenas de suministro de alimentos. Mientras que las preocupaciones por la seguridad e la seguridad cibernética 2.1
integridad de la comida y la bebida son de suma importancia y gran parte del PAS se centra
protección de los dispositivos, servicios y redes - y la información sobre
en ellos, es necesario hacer hincapié en que su alcance se refiere a 'todas las amenazas' y
ellos - de robo o daño
la protección de todos los elementos del suministro de alimentos. Esto incluye la viabilidad

de negocios dentro de la cadena de suministro.

{FUENTE: NCSC Glosario [2]}

2,2 defensa alimentos

copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

Se pretende que sea de utilidad para todas las organizaciones, pero es de particular utilidad

para los gerentes de pequeñas y medianas empresas de alimentos de tamaño sin fácil procedimientos adoptados para garantizar la seguridad de los alimentos y
acceso a asesoramiento especializado. bebidas y sus cadenas de suministro de ataque malicioso e ideológicamente
motivado que conduce a la contaminación o la interrupción de suministro

NOTA La seguridad alimentaria término se refiere a la confianza con la que las

comunidades ven la comida que está disponible para ellos en el futuro. Excepto en el
sentido limitado de que un ataque exitoso puede afectar a la disponibilidad de
alimentos, la seguridad alimentaria no se utiliza y está fuera del alcance de este
PAS.

fraude 2.3 de alimentos

acto u omisión deshonesto, en relación con la producción o suministro de alimentos,

que está prevista para el beneficio personal o para la pérdida de causa a otra parte 2)

NOTA 1 Aunque hay muchos tipos de fraude alimentario los dos tipos
principales son:

1) la venta de comida, que es apto y potencialmente perjudiciales, tales

como:

• reciclaje de subproductos animales de nuevo en la cadena alimentaria;

• embalaje y venta de carne de vacuno y aves de corral con un origen

desconocido;

• venta de bienes a sabiendas que están más allá de su "fecha de caducidad;

2) La Agencia de Normas Alimentarias del Reino Unido discute el crimen de alimentos y

comida en el fraude:

https://www.food.gov.uk/enforcement/thenational-food-crime-unit/what-is-food-crime-and-food-fraud

[3 ].

© la British Standards Institution 2017 1

 PAS 96: 2017

2) la descripción errónea deliberada de los alimentos, tales como: 2.6 peligros

• productos sustituidos con una alternativa más barata, por ejemplo, el
algo que puede causar la pérdida o el daño que surge de un evento de
salmón de piscifactoría vendido como salvaje, y el arroz Basmati
origen natural o accidental o es resultado de la incompetencia o la ignorancia
adulterada con variedades más baratas;
de las personas involucradas
• hacer declaraciones falsas sobre la fuente de los ingredientes, es
decir, su geográfica, vegetal o animal.
2.7 Análisis de Peligros y Puntos Críticos de Control (HACCP)
NOTA 2 fraude alimentario también puede implicar la venta de la carne de animales
que han sido robados y / o ilegalmente sacrificados, así como animales de caza
sistema que permite identificar, evaluar y controlar peligros significativos para
salvajes como ciervos que pueden haber sido escalfados.
la inocuidad de alimentos

{FUENTE: Codex Alimentarius. Principios Generales de Higiene de los

Alimentos [ 1]}
2.4 Protección de alimentos

procedimientos adoptados para prevenir y detectar ataques fraudulentos en los

alimentos 2.8 privilegiada

copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

individuo dentro o asociado con una organización y con acceso a sus activos,
pero que pueden hacer mal uso que el acceso y presentar una amenaza para
suministro 2,5 comida
sus operaciones
elementos de lo que comúnmente se llama una cadena de suministro de alimentos

NOTA Un ejemplo de una cadena de suministro de alimentos se da en la

Figura 1. Figura 1 no pretende ser exhaustiva.

Figura 1 - cadena A de suministro de alimentos

Río arriba

Agua montaje de Distribución

productos

Almacenamiento

la preparación y

conservación de

alimentos

Agroquímicos
Al por menor

siembra-Cultivos

Agricultura

La alimentación animal
fabricación
Cliente Servicio de comida
ingrediente
Inseminación principal
artificial

Los materiales de Pescar

Deposito de
Consumidor
basura

embalaje

Río abajo

2 © la British Standards Institution 2017

 PAS 96: 2017

la seguridad del personal 2.9 2.11 Evaluación de amenazas y Puntos Críticos de Control

procedimientos utilizados para confirmar la identidad de un individuo,

(TACCP)

calificaciones, experiencia y derecho al trabajo, a la conducta y monitor la gestión sistemática de los riesgos a través de la evaluación de amenazas,
como un empleado o contratista identificación de vulnerabilidades y la aplicación de controles a los materiales
NOTA 1 No debe confundirse con la 'seguridad personal'. y productos, compras, procesos, instalaciones, personas, redes de
distribución y sistemas de negocios por un equipo de expertos y de confianza
NOTA 2 principios de seguridad personal se utilizan para asegurar la fiabilidad de
con la autoridad para implementar cambios en los procedimientos
personal dentro de una organización, pero se pueden aplicar al personal de los
proveedores dentro de los procesos de acreditación de vendedor.

2.10 amenaza

algo que puede causar la pérdida o el daño que surge de la mala

intención de la gente

NOTA Amenaza no se utiliza en el sentido de la conducta que amenaza o

promesa de consecuencia desagradable de un incumplimiento de una
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

demanda malicioso.

© la British Standards Institution 2017 3

 PAS 96: 2017

3 Tipos de amenaza

3.1 Consideraciones generales durante muchos años. 6) No está claro si las hamburguesas de ternera en realidad

contenían suficiente para adaptarse a cualquier regulación oficial.

actos deliberados contra los alimentos y el suministro de alimentos toman varias

formas. Cláusula 3 describe las características de las principales amenazas a la

autenticidad y la seguridad de los alimentos

caso 4
- adulteración por motivos económicos (EMA) y la contaminación
malicioso, y explica la naturaleza de otras amenazas, en particular el En 2014 el Dairy Board de Kenia afirmó que los vendedores ambulantes estaban
poniendo en riesgo la vida mediante la adición de conservantes (formalina y peróxido de
rápido crecimiento de mal uso de técnicas digitales.
hidrógeno) en un (probablemente inútil) tratará de extender la vida útil de la leche. 7)

3,2 adulteración Económicamente motivado (EMA) caso 5

copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

El personal en un empacador de carne Europea consideró, erróneamente,

que podrían evitar un producto que se está llevando condenado como la
NOTA Los detalles de muchos otros casos están disponibles en la base de datos de
fiebre aftosa, cubriéndola con desinfectante.
Fraude de Alimentos de la Convención de la Farmacopea de Estados Unidos en

http://www.foodfraud.org/ [4].

La motivación de EMA es de carácter financiero, para ganar un aumento de los

Caso 1 ingresos por la venta de un producto alimenticio de una manera que engaña a
En 2016, los funcionarios de aduanas en Nigeria confiscaron 2,5 toneladas los clientes y consumidores. Esto puede ser por cualquiera de hacer pasar un
de arroz que se sospechaba estaba hecho de plástico. 3) material más barato como uno más caro (véase el caso 1), o puede ser que un
ingrediente menos costoso se utiliza para reemplazar o extender el más caro
(ver los casos 2 y 3).

caso 2

El aceite de oliva ha sido un objetivo frecuente de la adulteración, a menudo por otros

La evitación de la pérdida también puede ser un incentivo para la
aceites vegetales. En 2017, las autoridades italianas interrumpieron un anillo de crimen
adulteración (ver casos 4 y 5). suministro limitado de un material clave puede
organizado que se exportaba aceite de oliva falsa a los Estados Unidos. 4) Del mismo
animar a un productor de improvisar para completar un pedido en vez de
modo, las autoridades brasileñas informaron que un porcentaje muy elevado de los
aceites de oliva analizadas no cumplían con los estándares de calidad requeridos por su
corto entrega declarar al cliente.

etiquetado. 5)

La intención de EMA no es para causar enfermedad o muerte, sino que puede

ser el resultado. Este fue el caso en 2008, cuando la melamina se utilizó como
caso 3 una fuente de nitrógeno a fraudulentamente aumentar el contenido de proteína
La policía española ha acusado a un fabricante hamburguesa de carne de cerdo medido de la leche, lo que resulta en más de 50 000 bebés hospitalizados y seis
y la soja utilizando picada para aumentar el contenido de carne percibido de sus muertes después de haber consumido la fórmula infantil contaminada. 8)
productos

6) Más información está disponible en: https: // www.

euroweeklynews.com/3.0.15/news/on-euro-weekly-news/spainnews-in-english/144405-police-uncover-major
[8].
3) Más información está disponible en: http://www.bbc.co.uk/ noticias /

mundo-África-38391998 [5]. 7) Más información está disponible en: http: // www.

4) Más información está disponible en: https: // www. standardmedia.co.ke/article/2000107380/naivasha-hawkersusing-formalin-to-preserve-milk
oliveoiltimes.com/olive-oil-business/italy-arrests-33-accusedolive-oil-fraud/55364 [9].
[6]. 8) Para más detalles sobre este caso adulteración ver la OMS y la FAO

5) estudio adicional caso se puede encontrar: https: // www. publicación, aspectos toxicológicos de la melamina y ácido cianúrico
oliveoiltimes.com/olive-oil-business/brazil-reveals-widespreadolive-oil-fraud/56395 http://www.who.int/foodsafety/publications/ melamina-cianúrico-ácido / en / [10].
[7].

4 © la British Standards Institution 2017

 PAS 96: 2017

El factor común en muchos casos de EMA es que el adulterante es ni un peligro que más se distribuirían al público si la compañía no cumplió con
para la seguridad de los alimentos, ni identificarse fácilmente, ya que esto sería sus demandas.
contrario al objetivo del atacante. adulterantes comunes 9) incluir agua y azúcar;
ingredientes que pueden utilizarse adecuadamente y declaran pero de uso caso 9
abusivo fraude alimentario.
En 2007, una panadería encontró montones de cacahuetes en la fábrica. Se retiró del

producto y cerrado por una semana larga y profunda limpia para re-establecer su condición

de libre de tuerca.
EMA es probable que sea más eficaz para un atacante, y por lo tanto presentar una
amenaza mayor para un negocio de comida, aguas arriba en la cadena de
La motivación para la contaminación malintencionada puede ser a causa localizado
suministro de alimentos (véase la figura 1) cerca de la producción de ingredientes
(véase el caso 6) o generalizada (véase el caso 7) enfermedad o muerte.
primarios. Una adulteración éxito (desde el punto de vista del atacante) continúa sin
ser detectado. EMA puede necesitar una información privilegiada, pero podría ser
revelado por la verificación, por ejemplo, la auditoría financiera podría revelar:
En el caso 7, el atacante no quería que la contaminación para ser
detectados antes de que se consume, por lo tanto el contaminante tenía
que ser una toxina efectiva con poco efecto sobre la palatabilidad de la
• compras que son inexplicables por recetas, tales como colorantes Sudán, que comida.
no tienen lugar en la fabricación de especias; o
La motivación en caso 8 era publicidad. La opinión pública habría estado en
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

• diferencias entre las cantidades vendidas y las cantidades compradas, contra de los atacantes si el daño había sido causado a los miembros del

tales como carne picada y carne bovina vendido comprado, con la carne público, pero el proveedor no podía correr ese riesgo.

de caballo para compensar la diferencia.

Los materiales que podrían ser utilizados por un atacante para ganar publicidad, o
para extorsionar dinero, se encuentran con más facilidad que las que se necesitan
para causar daño generalizado. El caso de alergenos (véase el caso 9) muestra el
3,3 contaminación malicioso
daño, el impacto y costo que pueda ser causado a un negocio con poco riesgo para
caso 6 el atacante.

En 2005, una de las principales panadería británica informó de que varios clientes
habían encontrado fragmentos de vidrio y agujas de coser en el interior del envoltorio
de los panes. 10) La contaminación cerca de punto de consumo o venta, como en el caso 7,
(aguas abajo en la Figura 1) es más probable que causa daño a la salud de
un ataque a los cultivos o ingredientes primarios.
caso 7

En 1984, la secta Rajneeshee en Oregon trató de afectar el resultado de una

elección local por contaminación de los alimentos en diez diferentes barras de
ensaladas, lo que resulta en 751 personas afectadas por intoxicación por
3.4 La extorsión
salmonela. 11)

caso 10
caso 8 En 1990, un ex oficial de policía fue condenado por extorsión después de la

En 2013, un proveedor importante refrescos se vio obligado a retirar producto contaminación de los alimentos para niños con el vidrio y exigiendo dinero
por parte del fabricante multinacional. 12)
de un mercado clave cuando se envió una botella que había tenido su
contenido reemplazados con ácido mineral. Los atacantes incluyen una nota
que indica
caso 11
9) Para más información sobre adulterantes ver la base de datos de la Farmacopea de los En 2008, un hombre fue encarcelado en Gran Bretaña después de haber sido condenado

Estados Unidos Versión Convención fraude alimentario por amenazar con bombardear un gran supermercado y contaminar sus productos. 13)

2.0 en: http://www.foodfraud.org/#/food-fraud-databaseversion-20 [11].

10) Para más detalles sobre este caso de contaminación intencionada ver el archivo
Food Standards Agency en: http: // webarchive.
nationalarchives.gov.uk/20120206100416/http://food.gov.uk/ noticias / Archivo de 12) Para más detalles sobre este caso alimentos manipulación ver la publicación Q

Noticias / 2006 / dic / Kingsmill [12]. Food en: http://www.qfood.eu/2014/03/1989-glassin-baby-food/ [14].

11) Para más información, véase la publicación American Medical Association,

un brote en la comunidad grande de salmonelosis causada por la 13) Para más detalles sobre este caso de extorsión ver el artículo de The Guardian en:

contaminación deliberada del restaurante Ensalada Bares [13]. http://www.theguardian.com/uk/2008/jan/28/ukcrime [15].

© la British Standards Institution 2017 5

 PAS 96: 2017

La motivación de extorsión por parte de un individuo o grupo es financiera, 3.6 La falsificación

para obtener dinero de la organización víctima. Dicha actividad es atractivo
para la mente criminal cuando el producto, como alimentos para bebés (ver caso 14
caso 10), es sensible o cuando una empresa se ve tan rico (véase el caso En 2013, los agentes del orden incautaron 9 000 botellas de vodka falso
de Glen de una fábrica ilegal. dieciséis)
11).

caso 15
Un pequeño número de muestras se puede utilizar para mostrar la empresa
En 2011, 340 botellas de una famosa marca australiana de vino fueron
que el atacante tiene la capacidad y es suficiente para causar preocupación
capturados, tras las quejas de mala calidad para el propietario, que no tenía
pública y el interés de los medios.
ningún vínculo con Australia. 17)

La motivación para la falsificación es el beneficio económico, por el fraude de imitación

3.5 El espionaje
fraudulenta bienes inferiores como las marcas establecidas y de buena reputación.

caso 12 Tanto el crimen organizado y de la pequeña empresa puede causar pérdidas financieras
y daños a su reputación. El primero, por ejemplo, puede utilizar las tecnologías de
Una consultora de negocios utiliza el robo de la propiedad intelectual
impresión sofisticados para producir etiquetas de los productos que son indistinguibles
de un producto de aperitivo innovadora ficticia como un ejemplo de
espionaje comercial. 14) de los auténticos. Este último puede robar paquetes auténticos o incluso contenedores
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

de uso de recarga individuales para su reventa.

caso 13

En julio de 2014, Reuters informó que una mujer fue acusado en los
EE.UU., con el intento de robar patentado Los criminales organizados pueden tratar de imitar el contenido de los alimentos de cerca para
la tecnología de semillas de Estados Unidos como parte de una conspiración para el contrabando la detección e investigación de retardo. delincuentes de poca monta pueden ser tentados por
de tipos de maíz especializado para su uso en China. 15)
una 'ganancia rápida' y estar menos preocupados en la seguridad de los alimentos.

La principal motivación de espionaje es para los competidores que buscan ventajas

comerciales para el acceso de la propiedad intelectual. Pueden infiltrarse en el uso de

información privilegiada para informar, o pueden atacar de forma remota a través de los

sistemas de tecnología de la información. Por otra parte, las organizaciones pueden tratar

de ejecutivos tiente para revelar información confidencial o utilizar la grabación encubierta

para capturar este tipo de material, o pueden simplemente robar el material, tal como

sugiere el caso 13.

14) Para más información sobre este caso ficticio está disponible de Murray
Associates en: https: // contraespionaje.
worldsecuresystems.com/tscm-the-missing-business-schoolcourse.html [16]. dieciséis) ) Para más información sobre este ejemplo de falsificación, véase:

http://thecounterfeitreport.com/product/322/ [18].
15) Para obtener más información, visite: http://www.grainews.ca/daily/ 17)Para más información sobre este caso de la falsificación ver
chino-mujer-detenidos-en-trama-a-robo-us-maíz-tecnología [17]. http://www.news.com.au/finance/offshore-raids-turn-up-fakeaussie-jacobs-creek-wines/story-e6frfm1i-122602
[19].

6 © la British Standards Institution 2017

 PAS 96: 2017

3.7 La ciberdelincuencia caso 19

En 2016 el Departamento de Agricultura de Estados Unidos FBI y alertó a los

caso 16 agricultores a su creciente vulnerabilidad a ataques cibernéticos a través de su uso
En 2014, el fraude financiero Acción del Reino Unido aconseja gerentes de de la tecnología de agricultura de precisión. 22)
restaurantes que estar alerta ya que los estafadores están tratando de apuntar a sus
clientes de una nueva estafa telefónica. Ellos restaurantes de teléfono que afirman que
hay un problema con su sistema de pagos con tarjeta, a continuación, se dijo que el Tal ataque podría ser el espionaje industrial cibernético habilitado, o la
restaurante para redirigir el pago con tarjeta a un número de teléfono proporcionado piratería - el acceso no autorizado a sistemas informáticos, tal vez con
por el estafador. 18) intención maliciosa.

caso 20
tecnologías de la información y las comunicaciones modernas ofrecen nuevas
En 2016 un gran supermercado descubrió que las escalas en sus autoservicio registro
oportunidades y rápido aumento de negligencia. En caso de que el
de salida habían sido corrompidos para permitir denegación de servicio distribuido
defraudador 16 utiliza la ingeniería social para tratar de defraudar a los
(DDoS) ataques en los sitios web públicos.
negocios y consumidores. Es común que el atacante para tratar de explotar la
ignorancia individual de las tecnologías involucradas. El fraude en este caso es
'ciber-enabled', que es una estafa conocida hace más fácil por las
DDoS puede ser una verdadera molestia para las empresas, y dar lugar a pérdidas
comunicaciones electrónicas. En total, en Inglaterra y Gales para el año hasta
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

reales cuando el sitio de la compañía es una plataforma de comercio importante. El

septiembre de 2016, la Oficina Nacional de Estadísticas informó sobre 3,6
'Internet de las cosas' (IO) se vuelve más y más importante; Informe sobre las
millones de fraudes y casi 2 millones de casos de abuso de la informática. 19)
amenazas conjunta NCSC / NCA 23) expone la vulnerabilidad de los dispositivos
conectados a Internet (aparentemente inocuos) y su mal uso por parte de
delincuentes.

caso 17 El robo de identidad es quizás más familiar para el público, pero las
En 2016, los informes sugirieron que los delincuentes habían cortado Deliveroo cuentas organizaciones puede ser consciente de que su identidad sea robada para permitir
para pedir comida en las tarjetas de las víctimas. 20) fraude en las adquisiciones, en el que los bienes están ordenados en su nombre,
pero desvían a los locales defraudadores que salen del proveedor engañados y

caso 18 supone comprador para llevar el costo y el litigio.

En 2015, con sede en Michigan Biggby café reportó una violación de base de
datos con el posible robo de información de los clientes derivados de las
aplicaciones de tarjetas de fidelidad. 21)

El fraude en ambos casos 17 y 18 podría llevarse a cabo de forma

remota a través de Internet con pocas posibilidades de detección y la
justicia para el autor.

18) Para más información sobre este restaurante fraude

https://www.financialfraudaction.org.uk/news/2014/08/13/ ver la estafa de

alerta-restaurantes-and-comensales orientada-en-nueva-estafa / [20].

19)ONS Conjunto de datos: El crimen en Inglaterra y Gales: tablas experimentales: Tabla
E1: El fraude y el mal uso del ordenador por la pérdida (de dinero o bienes) - número y
la tasa de incidentes y el número y porcentaje de víctimas de https://www.ons.gov. UK /
peoplepopulationandcommunity / crimeandjustice / conjuntos de datos /
crimeinenglandandwalesexperimentaltables [21].
22) La industria privada Notificación PIN 160331-001 Smart Farming Puede aumentar
20) Para más información, véase: https: // negocio-reportero. cibernético Orientación Sector Agricultura y Alimentos de EE.UU. contra
co.uk/2016/11/23/cyber-criminals-use-hacked-deliverooaccounts-order-food-victims-cards/
https://info.publicintelligence.net/FBISmartFarmHacking.pdf ver [24].
[22].
21)Para más información, véase: http: //www.canadianbusiness. com / 23) La amenaza cibernética a Reino Unido Empresas en https://www.ncsc.gov. uk / noticias /

negocio-noticias / Michigan-basada en NCSC-y-NCA-amenaza-informe-provee de profundidad analysisevolving-amenaza [25].

Biggby-café-reportsdatabase-brecha-posible-robo-de-cliente la información [23].

© la British Standards Institution 2017 7

 PAS 96: 2017

4 Comprender el atacante

4.1 Generalidades clientes o auditores, o ad hoc muestreo para el análisis puede disuadir a
sus acciones.
El éxito de un ataque deliberado a la comida o el suministro de alimentos
depende de varias cosas:
Un proveedor que no pueden correr el riesgo de falta de entrega a un
un) ¿El atacante tiene la motivación y la unidad cliente puede correr el riesgo de que no se detectó la adulteración de vez
para superar los bloques obvias y menos obvias a sus acciones? en cuando. El éxito en una ocasión puede que sea más fácil para intentar
Si los bloques parecen masiva y parece poco probable éxito, una repetición. Este oportunista puede convencerse de que la
muchos posibles atacantes buscarían un blanco más fácil. adulteración es legítimo, por ejemplo, el pollo en una salchicha de cerdo
seguiría siendo carne.

si) ¿El atacante tiene la capacidad para llevar

a cabo el ataque? Un grupo es más probable encontrar los recursos y
aprender las habilidades necesarias.
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

C) ¿El atacante tiene la oportunidad de llevar a cabo

4.4 El extremista
¿el ataque? Un ataque físico necesita acceso físico al objetivo, sino un El extremista lleva su causa o campaña tan en serio que distorsionan su
ataque cibernético que sólo necesite acceso a una computadora. contexto y pasar por alto cuestiones más amplias. La dedicación a su causa
puede no tener límites y su determinación para el progreso que puede ser
re) Sería el atacante ser disuadido por la posibilidad de grande.
detección y / o las sanciones potenciales?
Extremistas lo desea, puede causar daño y son propensos a disfrutar de la publicidad
después del evento. Puede que no importa, y puede ser una ventaja, si ellos mismos

4.2 El extortionist se vean perjudicados. El riesgo de fracaso es un impedimento, pero el riesgo de

captura después de que el evento no es. Por lo general son ingeniosos e innovadores
El extorsionista quiere obtener beneficios financieros de un ataque, pero no
en la elaboración de formas de atacar.
quiere ser atrapado, y se concentra en evitar la detección. Su objetivo es más
probable que sea un negocio de alto perfil con mucho que perder de publicidad
negativa. Pueden trabajar solos y ser ingeniosos, reservado e interesada. Los Algunos grupos temáticos individuales pueden querer interrumpir las operaciones
ataques cibernéticos en todo el mundo a través de 'ransomware' han de negocio y reputación, sino que temer un daño masivo para el público podría
demostrado tanto la facilidad con extorsionadores ahora pueden atacar a dañar su causa y conducirlos a perder apoyo.
múltiples víctimas y lo difícil que es para llevarlos ante la justicia. 24) Algunos
individuos pueden afirmar que son capaces de tomar medidas contra un
negocio, mientras que carecen de la capacidad para llevarlo a cabo; la empresa
puede juzgar la reclamación como no es creíble, pero todavía decidir responder
4.5 El individuo irracional
de manera apropiada.
Algunas personas no tienen ningún motivo racional para sus acciones. Sus
prioridades y preocupaciones se han distorsionado por lo que son incapaces de
tener una visión equilibrada del mundo. Algunos pueden haber diagnosticado
clínicamente problemas de salud mental.

4.3 El oportunista
Este individuo puede ser disuadido fácilmente mediante sencillos pasos
El oportunista puede mantener una posición influyente dentro de una operación que les impiden acceder a su objetivo o hacer la detección fácil.
para ser capaz de evadir los controles internos. Pueden tener algunos
conocimientos técnicos, pero su principal activo es el acceso. Es probable que se
desanime por la posibilidad de detección, por lo que las visitas no anunciadas por

24) Para más información ver la amenaza cibernética a Reino Unido Empresas, PG 7

disponibles en: https://www.ncsc.gov.uk/news/

NCSC-y-NCA-amenaza-informe-proporciona profundidad-análisis-evolvingthreat [25] .

8 © la British Standards Institution 2017

 PAS 96: 2017

4.6 El individuo contrariedad Tradicionalmente, este tipo de atacante tiene información y experiencia en tecnología de

comunicaciones que pueden causar daño comercial. Sin embargo, como se advirtió en el
El individuo contrariedad cree que una organización ha sido injusto con
Reino Unido Conjunto NCSC / NCA informe sobre las amenazas [25], “Las líneas entre
ellos y busca venganza. Por ejemplo, pueden ser un empleado agraviado
esos ataques que cometen siguen a desdibujarse, con grupos delictivos imitando estados
o ex empleado, proveedor o cliente. Pueden tener un conocimiento
...... y actores más avanzados utilizando con éxito 'fuera de la plataforma' software
experto de la operación y el acceso a la misma.
malicioso a los ataques de lanzamiento “. 25) Esto puede suponer una amenaza creciente

para la seguridad alimentaria a medida que aumenta la actividad de Internet.

Este atacante es probable que sea un individuo y no como parte de un grupo. Si una
información privilegiada, que podrían ser peligrosos, pero son más propensos a querer
causar vergüenza y pérdida financiera que daño al público. Si no es una información
privilegiada, este individuo tiene más probabilidades de reclamación o presumir de
4.8 El profesional del crimen
haber hecho algo que realmente ser capaz de hacerlo.
El crimen organizado se puede ver el fraude alimentario como un delito relativamente
simple, con grandes ganancias en perspectiva, pocas posibilidades de aprehensión, y
sanciones modestas si es condenado. El comercio mundial de alimentos en los que se

4.7 Los delincuentes cibernéticos y otros agentes maliciosos mueven los materiales de alimentos, a menudo con poca antelación, a través de las
fronteras de la zona de aplicación parece alentar el criminal profesional. El anonimato
digitales
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

de Internet y la posibilidad de intrusión a distancia hace que los sistemas electrónicos

Ciber criminales pretenden subvertir los controles sobre los sistemas de en el delito cibernético cada vez más atractivo para los criminales profesionales.
información y de las comunicaciones informatizadas con el fin de evitar que
trabajar con eficacia, a robar o dañar los datos que contienen, y / o para
interrumpir negocio en Internet. Su motivación puede ser criminal o incluso
política, pero también puede ser de demostrar su experiencia y capacidad para Pueden ser disuadidos por una estrecha colaboración entre las operaciones de
vencer a cualquier sistema de protección diseñado para detenerlos. alimentos y autoridades nacionales e internacionales de policía.

25) NCSC y NCA La cibernética amenaza a Reino Unido Empresas disponible en:

https://www.ncsc.gov.uk/news/ncsc-and-nca-threatreport-provides-depth-analysis-evolving-threat

[25].

© la British Standards Institution 2017 9

 PAS 96: 2017

5 Evaluación de amenazas y Puntos Críticos de Control (TACCP)

5.1 temas generales proceso 5.2 TACCP

TACCP debe ser utilizado por las empresas alimentarias como parte de sus procesos más En la mayoría de los casos TACCP debe ser una actividad de equipo, ya que es la
amplios de gestión de riesgos, o como una forma de comenzar a evaluar los riesgos de mejor manera de llevar habilidades, especialmente las habilidades de gestión de
forma sistemática. personas, juntos. Para muchas pequeñas empresas el trabajo en equipo no es factible y
que puede ser el trabajo de una persona. El equipo TACCP puede y debe modificar el
TACCP objetivos de: proceso TACCP para mejor satisfacer sus necesidades y adaptarlo a otras amenazas

• reducir la probabilidad (probabilidad) de un ataque deliberado; como sea necesario para hacer frente a cuatro preguntas subrayado:

• reducir las consecuencias (impacto) de un ataque;

• proteger la reputación de la organización;

un) Que quieran atacarnos?
• clientes, prensa y tranquilizar a la opinión pública que son medidas
si) ¿Cómo podrían hacerlo?
proporcionadas en el lugar para proteger los alimentos;
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

C) ¿Dónde estamos vulnerables?

• satisfacer las expectativas internacionales y apoyar el trabajo de los
socios comerciales; y re) ¿Cómo podemos detenerlos?

• demuestran que se toman las precauciones razonables y la debida diligencia

El diagrama de flujo (véase la Figura 2) se describe el proceso TACCP y se
se ejerce en la protección de los alimentos.
centra en la adulteración deliberada y contaminación. Para más información
sobre cada elemento del proceso TACCP expuesta en la Figura 2 se da en
por, en términos generales:
la lista numerada correspondiente [véase 5.2, 1) - 5.2, 15)].
• identificar las amenazas específicas a los negocios de la empresa;

• evaluar la probabilidad de un ataque al considerar la motivación del

atacante prospectivo, la vulnerabilidad del proceso, la oportunidad y la
capacidad que tienen de llevar a cabo el ataque y la certeza de la
información en la que se basa la evaluación;

• evaluar el impacto potencial teniendo en cuenta las

consecuencias de un ataque con éxito;

• juzgar la prioridad que debe darse a diferentes amenazas mediante la

comparación de su probabilidad e impacto;

• priorización de las amenazas basadas en el riesgo, y comunicar una priorización tales

través de los socios comerciales para la aceptación de riesgo compartido;

• decidir sobre los controles necesarios y proporcionados para desalentar

el atacante y dar notificación temprana de un ataque; y

• el mantenimiento de los sistemas de información y de inteligencia para permitir la

revisión de las prioridades.

profesionales del sector de alimentos desea reducir al mínimo las posibilidades de pérdida

de la vida, la mala salud, pérdidas financieras y daños a la reputación comercial que

podría causar un ataque.

TACCP no puede dejar de individuos u organizaciones que afirman que han

contaminado los alimentos, pero puede ayudar a juzgar si esa afirmación es
probable que sea cierto. Dicha reclamación, si se juzga sea creíble, y cualquier
incidente real debe ser tratada como una crisis. La organización tiene que tomar
medidas para mantener las operaciones en funcionamiento e informar a los
involucrados.

10 © la British Standards Institution 2017

 PAS 96: 2017

Figura 2 - Esquema proceso TACCP

Forma 15 horizonte monitor 14 Revisión y 13 Decidir y poner en

equipo exploraciones y los revisar práctica necesaria

TACCP riesgos emergentes control S

1 Evaluar la nueva 11 Probabilidad v 12 Identificar que

información Impacto • Prioridad podría llevar a
fuera

10 Determinar si los 9 Identificar que los puntos de

procedimientos de control suministro están

organización detectará la amenaza más crítico

copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

amenazas a
y evaluar las
operación 2 Identificar
las amenazas a la
3 Identificar y evaluar

8 debe considerar el impacto

de las amenazas
4 Decidir
identificadas
Producto - Sistema

Seleccionar producto

5 Identificar y evaluar 6 diagrama de flujo Devise 7 Identificar el personal clave

las amenazas a de la cadena de y vulnerable

producto suministro de productos puntos

NOTA 1 Un enfoque alternativo es el riesgo CARVER + choque que se describe en el Anexo C.

NOTA 2 La figura 2 está destinado a ser una ilustración únicamente indicativo.

Un equipo TACCP de pie debe estar formado, lo que podría incluir a las • comunicaciones; y
personas con la siguiente experiencia: • comercial / marketing.
• seguridad; NOTA 1 El equipo puede incluir representantes de proveedores y
• recursos humanos; clientes clave.
• tecnología de los Alimentos; NOTA 2 Para una organización pequeña puede tener una persona para cubrir todas

• Ingeniería de Procesos; estas funciones.

• la producción y las operaciones; NOTA 3 Mientras que el equipo de HACCP puede proporcionar un punto de partida
adecuado, el equipo de la continuidad del negocio podría ser un mejor modelo. El
• compras y adquisiciones;
equipo TACCP es típicamente un grupo establecido y permanente capaz de revisar
• distribución y logística; continuamente sus decisiones.
• tecnologías de la información;

© la British Standards Institution 2017 11

 PAS 96: 2017

Dado que el proceso puede cubrir TACCP material sensible y podría ser 10) evaluar la probabilidad de procedimientos de control de rutina
de utilidad para un atacante potencial, todos los miembros del equipo no detectar tal una amenaza;
sólo deben tener conocimiento de los procesos reales, sino también NOTA 7 Por ejemplo, el análisis de rutina de laboratorio podría
confiable, discreta y consciente de las implicaciones del proceso. detectar agua añadida o grasas y aceites inusuales; gestión eficaz de
la compra sería desafiar las órdenes de compra inusuales.

El equipo TACCP debe:

11) anotar la probabilidad de la ocurrencia de amenazas, la puntuación
1) evaluar toda la información nueva que ha llegado a su el impacto que tendría, y trazar los resultados para mostrar la
atención; prioridad que debe darse (véase 6.3), y revisar si esta evaluación
2) identificar a los individuos y / o grupos que pueden ser una de riesgos parece mal;
amenaza para la organización y sus sistemas, especialmente los
NOTA 8 Se puede necesitar un poco de pensamiento lateral. El equipo
sistemas electrónicos, y evaluar su motivación, capacidad y
TACCP podría preguntar, “Si estábamos tratando de socavar nuestro
determinación;
negocio, lo que sería la mejor manera?” Se puede considerar cómo un
3) identificar a los individuos y / o grupos que pueden ser una amenaza para atacante selecciona atacan materiales:
la operación específica (por ejemplo, locales, fábrica, sitio);

• ava ilability;
4) amenazas de productos de diferenciar de otras amenazas:
• costo;
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

un) en busca de amenazas no son del producto, vaya a la Cláusula 11;

• toxicidad;
si) en busca de amenazas de productos, seleccione un producto que es
• forma física; y / o
representante de un proceso particular;
• seguridad en el uso, por ejemplo pesticidas en las granjas y agredir he materiales
NOTA 4 Por ejemplo, un producto adecuado sería típico de una de sabor en las fábricas pueden ser contaminantes convenientes.
línea de producción particular y podría ser uno que es más
vulnerable.
12) donde la prioridad es alta, identificar quién tiene
5) identificar a los individuos y / o grupos que pueden querer orientar el
acceso no supervisado al producto o proceso y si son dignos de
producto específico;
confianza, y si esa confianza puede ser justificado;
6) dibujar un diagrama de flujo de proceso para el producto de
pero no limitado por, 'la granja al tenedor', incluyendo, por ejemplo, la
13) identificar, registrar de forma confidencial, de acuerdo y
preparación doméstica. El diagrama de flujo entero debe ser visible a la
poner en práctica medidas preventivas proporcional (controles
vez. Particular atención se debe prestar a partes menos transparentes
críticos). El equipo TACCP debe tener un reporte confidencial y
de la cadena de suministro que podría merecer un gráfico subsidiaria;
procedimiento de grabación que permite una acción de gestión de
decisiones, pero no expone los puntos débiles a los que no tienen
necesidad de conocer (ver estudios de caso en el anexo A);
7) identificar tanto los puntos vulnerables donde un atacante
podría esperanza de éxito y las personas que tendrían acceso 14) determinar los mecanismos de revisión y revisará la
a un examen de cada paso del proceso; la evaluación TACCP; y

NOTA 9 Revisión de la evaluación TACCP debería tener lugar después de

8) identificar posibles apropiado amenazas para el producto en cada etapa
cualquier alerta o al año, y en los puntos donde surgen nuevas amenazas
y evaluar el impacto que el proceso puede tener en la mitigación de las
o cuando hay cambios en las buenas prácticas.
amenazas;

NOTA 5 adulterantes modelo incluyen bajo costo ingredientes alternativos a

15) mantener una vigilancia rutinaria de oficial y la industria
componentes de alta calidad; contaminantes modelo podría incluir agentes
publicaciones que dan una advertencia temprana de los cambios que pueden
altamente tóxicos, productos químicos industriales tóxicos, materiales
convertirse en nuevas amenazas o cambiar la prioridad de las amenazas existentes,
nocivos fácilmente disponibles y sustancias inapropiadas como alergenos o
incluidas las cuestiones más locales a medida que desarrollan.
étnicamente productos alimenticios insanos.

NOTA 10 Un esbozo de algunos sistemas de información y de

NOTA 6 Por ejemplo, la limpieza puede eliminar el contaminante, el
inteligencia se da en el Anexo B.
tratamiento térmico puede destruirlo, y otros componentes de los
alimentos puede neutralizarla.

9) seleccionar los puntos del proceso donde la amenaza tendría el

mayor efecto, y en los que mejor podrían ser detectados;

12 © la British Standards Institution 2017

 PAS 96: 2017

Evaluación 6

NOTA Las siguientes listas no pretenden ser exhaustivas de todas las preguntas • Son materiales peligrosos, que podrían ser valiosos para grupos hostiles,
que se le puede pedir para evaluar una amenaza. almacenados en el sitio?

• Un gran número de personas (incluyendo el público en general)

utilizando la ubicación?

• ¿Alguno de los empleados tienen motivos para sentirse descontentos signos o

6.1 Evaluación de amenazas
mostrar la insatisfacción?

El producto, las instalaciones y la organización y sus sistemas de • Son mecanismos de auditoría interna independiente?
información puede ser objetivo de un ataque de una serie de grupos e
• Tienen un papel clave sido ocupadas por el personal durante muchos años con poca
individuos (véase el numeral 4),
supervisión?
y cada elemento debe evaluarse por separado. El equipo debe considerar
TACCP proveedores bajo tensión financiera, empleados y ex empleados
Para la organización:
alienados, grupos monotemáticos, competidores comerciales,
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

• ¿Estamos bajo la propiedad extranjera de las naciones implicadas en el conflicto

organizaciones de medios de comunicación, organizaciones terroristas,
internacional?
criminales y grupos de presión locales.
• ¿Tenemos una celebridad de alto perfil o el director ejecutivo o
propietario?
Comúnmente, una cadena de suministro corta que implica un menor número de personas puede • ¿Tenemos una reputación de tener vínculos significativos, clientes,
ser menos riesgoso que una cadena de suministro más tiempo. proveedores, etc., con regiones inestables del mundo?

El equipo TACCP podría hacer las siguientes preguntas para evaluar una
• Nuestras marcas son objeto de controversia por algunos?
amenaza: Para el producto:
• Es lo que nuestros clientes o suministrar a los clientes de alto perfil o eventos?

• ¿Ha habido significativos aumentos de los costos que han afectado a este
• Es la organización que participan en el comercio de controversia?
producto?
• Han competidores comerciales sido acusados ​de espionaje o sabotaje?
• ¿Este producto tiene particular importancia religiosa, ética o moral
para algunas personas?

• Este producto podría ser utilizado como un ingrediente en una amplia gama de En los sistemas de información:
alimentos populares?
• ¿Tiene medios de comunicación social Chatter sugieren que podríamos ser el blanco
• ¿El producto contiene ingredientes o de otro material de de la intrusión digital?
origen del extranjero?
• Son nuestros sistemas de control de supervisión y adquisición de datos (SCADA) y
• Se están convirtiendo en los principales materiales menos disponibles (por ejemplo, de la otra de control también utilizados por otras organizaciones que podrían ser los
pérdida de cosechas) o alternativas abundante (por ejemplo, de la sobreproducción)? principales objetivos?

• ¿Ha habido aumentos inesperados o disminuciones en la demanda? El examen de las respuestas a estas preguntas puede dar una
comprensión de los efectos de un ataque exitoso y la probabilidad de
que tenga lugar. Esto informa requiere un juicio sobre el nivel
• Son materiales de bajo coste sustitutos disponibles?
proporcional de protección.
• Ha aumentado la presión sobre los márgenes comerciales de los proveedores?

Para las instalaciones:

• Son los locales ubicados en una zona sensible política o 6.2 Identificación de vulnerabilidades
socialmente?
NOTA En esta sección EMA, la contaminación intencionada y ataque cibernético se
• Hacer el acceso a los locales de acciones o servicios clave con los vecinos
utilizan como ejemplos de enfoques para la evaluación de la vulnerabilidad.
controvertidos?

• Son nuevos reclutas, especialmente agencia y personal de temporada, seleccionados de

manera apropiada?
6.2.1 Generalidades
• Son los servicios a los locales protegidos de manera adecuada?
Las distintas organizaciones tienen diferentes necesidades de negocio y
• Se utilidades externas adecuadamente protegidos? operan en diferentes contextos. El equipo TACCP puede juzgar cuál es el
enfoque y las preguntas son apropiadas y proporcionadas a las amenazas
que identifican.

© la British Standards Institution 2017 13

 PAS 96: 2017

6.2.2 adulteración Económicamente motivado (EMA) • ¿Alguno de los empleados tienen un resentimiento contra la

Una característica típica de EMA (ver 3.2) es la sustitución de un elemento de bajo organización?

coste en lugar de un relativamente alto componente de costo / ingrediente. El • El aburrimiento es el personal, la disciplina, el reclutamiento es un problema?

equipo TACCP necesita estar alerta a la disponibilidad de tales alternativas. Un

ejemplo en el que esto puede ocurrir es cuando se afirma valor añadido, 6.2.4 ataques cibernéticos

Las preguntas que el equipo TACCP puede hacer incluyen:

por ejemplo, orgánico, no-GM, cultivado localmente, gama libre o con
• Tiene la Junta aprobó el NCSC de 10 pasos a la seguridad cibernética [ 27] y
denominación de origen protegida. El atacante puede tener acceso
se establecieron procedimientos adecuados? (Ver Anexo D)
inmediato a bajar equivalentes de valor, que son casi indistinguibles.

• Son todos TI / SI proyectos objeto de una evaluación del riesgo de

NOTA Más orientación sobre fuentes de información e inteligencia sobre la
intrusión electrónica?
probabilidad de fraude alimentario se proporciona en el Anexo B.
• Se colegas propensos a tener en cuenta y que informen de comunicaciones

electrónicas sospechosas (por ejemplo, correos electrónicos, SMS)?

El equipo TACCP tiene que estar seguro de que sus propias operaciones y las de
sus proveedores están en manos de confianza. Esto se puede lograr mediante el
• Es un material altamente sensible a cabo el separada, soportar los sistemas
asesoramiento oficial sobre la seguridad personal. de 26)
informáticos por sí solos?
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

• Se utilizan contraseñas de forma segura, y de acuerdo con la orientación

NCSC? 27)
Las preguntas que el equipo TACCP podría hacer incluyen:
• Son las condiciones relacionadas con el manejo de las cuentas electrónicas
• ¿Usted confía en gerentes y sus proveedores de sus proveedores
cuando un miembro del personal se une, movimientos u hojas de empleo
gerentes?
eficaz?
• Hacen los principales proveedores utilizan prácticas de seguridad personal?
• Son cualquier localidad enlaces Wi-Fi sin cifrar o accesibles por los usuarios
• ¿Los proveedores piensan que hacemos un seguimiento de su funcionamiento y externos?
analizar sus productos?
• Son de fabricación u otros sistemas operativos interconectados con los
• Que los proveedores no son auditados de forma rutinaria?
sistemas de tecnología de la información?
• ¿Estamos suministrada a través de control remoto, cadenas oscuros?
• Están habilitados para Internet procesos seguros? Por ejemplo, podría procesar
• ¿De qué manera los proveedores disponen de cantidades excesivas de materiales de parámetros pueden cambiar sin la debida autorización? Basada en la nube
desecho? podría estar dañados los registros?

• ¿Somos conscientes de accesos directos para el proceso que nos podría afectar? • Son los procedimientos de copia de seguridad de datos efectiva?

• Están operadores notificados y consciente de los cambios en la producción o

• Son nuestro personal y los de los proveedores animó a las preocupaciones de de otra configuración de funcionamiento, por ejemplo, a formulaciones de
informes (whistleblowing)? productos?

• Son registros de acreditación, los certificados de conformidad y análisis de • Se puede acceder de forma remota los sistemas de producción?

informes independientes? • Son sistemas de operaciones esenciales separados de la red

corporativa de la compañía y de la Internet?
6.2.3 contaminación malicioso • Es de origen externo de datos (desde el correo electrónico, Internet o medios
Las preguntas que el equipo TACCP podría pedir tanto de sus propias extraíbles) verificado en busca de malware antes de ser importados?
operaciones y la de sus proveedores incluyen:

• Se realizan auditorías de seguridad alimentaria rigurosa y actualizada? • ¿Tiene acceso remoto a los sistemas de la empresa requiere autenticación de
• Son los procedimientos de seguridad personal en el uso? múltiples factores y es el grado de acceso limitado?

• ¿El acceso al producto restringido a aquellos con una necesidad de negocio?

• ¿Los sistemas computarizados esenciales han probado, copias de seguridad fuera de línea?

• No tienen recipientes de almacenamiento sellos-Sello de Seguridad?

• Son la continuidad del negocio y recuperación de desastres para los planes de TI y
• ¿Hay oportunidades para el acceso por parte de simpatizantes de los grupos
sistemas de producción en su lugar y efectiva?
individuales de emisión?

de 26) Para más información sobre la seguridad personal se puede encontrar en la página web

del IREC en http://www.cpni.gov.uk/advice/Personnelsecurity1/ [26]. 27) NCSC guía está disponible en: https://www.ncsc.gov.uk/ orientación /

contraseña-guía-simplificando-su-enfoque [28].

14 © la British Standards Institution 2017

 PAS 96: 2017

6.3 Evaluación del riesgo La probabilidad de un suceso amenaza puede ser evaluado teniendo en cuenta:

Las organizaciones necesitan entender las amenazas que enfrentan, sino que
• si un atacante podría lograr sus objetivos si tiene éxito;
debe centrarse la atención en los más prioritarios. Para cada amenaza
identificada equipo TACCP considera y da una puntuación de la probabilidad
de cada suceso amenaza y por su impacto (ver Tabla 1). • si un atacante podría tener acceso al producto o proceso;

• si un atacante sería disuadido por las medidas de protección;

tabla 1 - La evaluación de riesgos de puntuación

• si un atacante preferiría otros objetivos; y

Probabilidad de que ocurra una Puntuación Impacto
• si un ataque se detecta antes de que tuviera ningún impacto.
amenaza

Muy alta probabilidad 5 Catastrófico

El impacto podría ser evaluado en términos financieros como en términos de la
antigüedad del personal necesario para tratar con él.
Tienen muchas posibilidades 4 Mayor

algunos oportunidad 3 Significativo La puntuación de riesgo presentado por cada amenaza se puede mostrar en un gráfico

simple. Una matriz de puntuación de riesgo ejemplo se presenta en la Figura 3.

copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

Puede pasar 2 Algunos

Poco probable que suceda 1 Menor

NOTA 1 Se trata de una matriz de puntuación ejemplo, las organizaciones pueden

informes 6.4 TACCP
elegir su propio esquema de clasificación. Cuatro estudios de casos ficticios que muestran cómo el proceso TACCP puede ser

NOTA 2 Probabilidad de un suceso amenaza podría ser juzgada, por aplicado y adaptado para satisfacer mejor las necesidades de una empresa

ejemplo, durante un período de 5 años. individual se dan en el Anexo A. Se presentan como los registros formales de la
investigación TACCP y pueden ser utilizados para demostrar que el negocio ha
NOTA 3 Impacto podría considerar la muerte o lesiones, costo, daño a la
tomado todas las medidas razonables precauciones que deben ser víctimas de un
reputación y / o pública y las percepciones de los medios de estas
ataque.
consecuencias.

figura 3 - matriz de puntuación de riesgo

5 Una amenaza

4 amenaza C
Impacto

3 amenaza B

2 amenaza E

1 amenaza D

1 2 3 4 5

Probabilidad

Riesgo muy alto Una amenaza

Alto riesgo amenaza B

Riesgo moderado amenaza C

Riesgo bajo amenaza D

riesgo insignificante amenaza E

NOTA Esta es una matriz de puntuación de riesgo ejemplo, las organizaciones pueden elegir diferentes criterios para las diferentes categorías de riesgo.

© la British Standards Institution 2017 15

 PAS 96: 2017

7 controles críticos

NOTA Tablas 2, 3 y 4 no están destinados a ser exhaustiva de todos los El acceso a las personas ¿Pertinente?
controles que pueden ser considerados relevantes o proporcionada para ¿Proporcionado?
reducir un riesgo.
12 control de acceso Chip y PIN

13 Los vestuarios, separada

7.1 Control de Acceso
ropa personal de ropa de trabajo
Si un atacante potencial no tiene acceso a su objetivo, luego de que el ataque
no puede tener lugar. No es posible o deseable para evitar cualquier acceso,
pero las medidas físicas puede limitar el acceso a ciertos individuos y los que El acceso a los sistemas electrónicos ¿Pertinente?

tienen una necesidad legítima. Algunos enfoques para la reducción del riesgo ¿Proporcionado?

de que el equipo TACCP puede sentir son proporcionadas y relevante para su

14 El control de rutina y
negocio se enumeran en la Tabla 2.
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

aplicación de las directrices

NCSC [28]

15 Pruebas de penetración por

Tabla 2 - Enfoques para la reducción del riesgo
profesionales externos

Acceso a los locales ¿Pertinente? dieciséis entrenamiento de rutina en cibernética

¿Proporcionado? principios de seguridad (por ejemplo cibernético

esenciales [29] o BS ISO 27000 series)

1 El acceso a las personas en viaje de negocios

solamente

La detección de los visitantes ¿Pertinente?

2 Vehículo perímetro de aparcamiento en el
¿Proporcionado?
exterior

17 Solo por cita

3 Locales dividen en zonas para restringir el

acceso a las personas con una necesidad de 18 Prueba de identidad requiere

negocio
19 acompañado a lo largo
4 cerco perimetral visible e integral
20 La identificación positiva del personal
y visitantes
5 sistema de alarma perimétrica
21 monitoreo CCTV / grabación
6 monitoreo CCTV / grabación de las de las zonas sensibles

vulnerabilidades del perímetro

Otros aspectos ¿Pertinente?
El acceso a los vehículos ¿Pertinente? ¿Proporcionado?
¿Proporcionado?
22 manejo seguro del correo
7 puntos de acceso monitoreados
23 Restricciones sobre portátil
8 vías de acceso trafficcalmed equipos electrónicos y la
cámara

9 entregas programadas 24 Limitaciones en el acceso a

los servicios de red
10 documentación comprueba
antes de su ingreso

11 entregas perdidas investigados

dieciséis © la British Standards Institution 2017

 PAS 96: 2017

7.2 Detección de manipulación NOTA Otras orientaciones sobre la seguridad personal y la población se
encuentra disponible en: http://www.cpni.gov.uk/ consejos / Personal-seguridad1 /
almacenamiento mucho materia prima, algunos de almacenamiento del producto, la mayoría de los
[26]. En particular, las empresas alimentarias pueden hacer uso de la publicación
vehículos de distribución y todos los alimentos envasados ​pueden ser de manipulación evidente.
del IREC, Gestión Integral del Riesgo Empleado (Homer) [30].
En caso de que un atacante obtener acceso, una prueba de manipulación da una posibilidad de

que el ataque puede ser detectada a tiempo para evitar el impacto.

Tabla 4 - Personal de Seguridad

Algunas aproximaciones a los aspectos de evidencia de manipulación que el
equipo TACCP puede sentir son proporcionadas y relevante para su negocio se Las comprobaciones previas de empleo ¿Pertinente?

enumeran en la Tabla 3. ¿Proporcionado?

1 Prueba de identidad
Tabla 3 - Alterar evidencia
2 La prueba de las cualificaciones

La detección de manipulación ¿Pertinente?

¿Proporcionado? 3 La verificación de los contratistas

1 sellos numerados en silos de 4 papeles más sensibles

copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

almacenamiento a granel identificado con el reclutamiento

adecuado
2 sellos numerados en tiendas de etiquetas y
paquetes etiquetados En curso de seguridad personal ¿Pertinente?

¿Proporcionado?
3 sellos eficaces en los paquetes de venta al por menor
5 El personal de papeles críticos
4 sellos numerados en motivado y supervisado
materiales peligrosos
6 La denuncia de irregularidades

5 Cerrar el control de existencias de materiales preparativos

clave
7 El personal temporal supervisado
6 Grabación de números de precinto en los

vehículos de reparto 8 Las personas capaces de trabajar solo

7 nombres de usuario y contraseñas

seguras para el acceso electrónico 9 cultura de seguridad favorable 28)

Fin de acuerdos contractuales ¿Pertinente?

8 La comunicación de acceso no autorizado de los ¿Proporcionado?

sistemas cibernéticos
10 tarjetas y claves de acceso e ID
recuperado

7.3 garantizar la seguridad del personal 11 Las cuentas cerradas ordenador o

suspendido
orientación al personal de seguridad se utiliza para mitigar las amenazas
internas a la organización. Sus principios también pueden ser utilizados por las
12 entrevista de despido
empresas alimentarias para juzgar si el personal clave dentro de las
evalúa implicaciones de seguridad
organizaciones que suministran bienes y servicios se puede confiar para cumplir
con las especificaciones y procedimientos, y para el trabajo en el mejor interés
de ambos el proveedor y el cliente. Algunos enfoques para garantizar la
seguridad del personal que el equipo TACCP puede sentir son proporcionadas y
relevante para su negocio se enumeran en la Tabla 4.

28) Para más información sobre la cultura de seguridad está disponible a partir de: IREC en

https://www.cpni.gov.uk/developing-security-culture [31].

© la British Standards Institution 2017 17

 PAS 96: 2017

8 Respuesta a un incidente

8.1 Gestión de una crisis de protección de los alimentos En general, el mejor momento para aprender cómo gestionar una crisis no está en la

crisis, por lo que la planificación avanzada y el ensayo de los procedimientos es esencial.

protección de los alimentos y los procedimientos de defensa tienen por objeto reducir el

riesgo de un ataque, pero no puede eliminarlo, por lo que la respuesta a emergencias y

protocolos de continuidad de negocio son esenciales.

8.2 Gestión de un ciberataque
La velocidad de respuesta puede influir en gran medida el daño causado por un

protección de los alimentos puede sentarse dentro del sistema de gestión de crisis de ataque cibernético por lo que el mantenimiento de la conciencia colega puede ser

una empresa (véase BS 11200), y es probable que compartan sus objetivos generales: crucial. La complejidad y variedad de ataques pueden ser tan grandes que la
selección de un contratista especializado (por adelantado del incidente) puede
beneficiar a muchas organizaciones.
• para reducir al mínimo los daños físicos y financieros a los consumidores,
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

clientes, empleados y otros;

• colaborar con las autoridades de investigación y ejecución (por ejemplo, la Unidad

Pensamientos acerca de la respuesta a incidentes cibernéticos están disponibles de
Nacional de Alimentación del crimen en el Reino Unido);
CREST (Consejo de Ética registrados probadores de seguridad) [32]. El apoyo también

• para ganar el apoyo público a la organización; puede estar disponible en calidad de miembro de la seguridad cibernética Asociación de

• para reducir al mínimo el costo - financiera, la reputación y el Intercambio de Información (CISP) [33].

personal - del suceso;

• para prevenir la re-ocurrencia; y

• para identificar a los delincuentes.

8.3 La planificación de contingencia para la recuperación de los
ataques
Donde la contaminación es implícita, cuarentena y tal vez retirada y
recuperación de producto podría esperarse. principios de gestión de continuidad de negocio dan buena resistencia a
reaccionar y recuperarse de un ataque. Consejos sobre la mejor manera de
En los casos que implican la acción penal, policías de las unidades de delitos desarrollar y poner en práctica la recuperación de su organización en respuesta
graves deben estar involucrados en la primera oportunidad para evitar cualquier a un incidente perturbador se proporciona en BS ISO 22313.
pérdida de pruebas.

NOTA Algunos ejemplos de los contactos con la policía son la Agencia

Nacional del crimen y la unidad antisecuestro y extorsión; otros también se
proporcionan en el Anexo B.

18 © la British Standards Institution 2017

 PAS 96: 2017

9 Examen de las disposiciones de protección de alimentos

Cualquier cambio que pueda afectar a la evaluación, tales como TACCP Un informe conciso de la revisión debe tener solamente una circulación limitada.
infracciones y posibles infracciones de seguridad o autenticidad, debe ser
reportado inmediatamente a la líder del equipo TACCP quien decide si se
necesita una revisión completa. El equipo TACCP debe revisar periódicamente las disposiciones de protección de
alimentos en línea con otras políticas de la empresa.

El equipo TACCP debe supervisar los sitios web oficiales de actualizaciones en las NOTA El informe TACCP y cualquier documento de revisión son
evaluaciones nacionales de amenazas y de información sobre los riesgos comercialmente sensible y confidencial. De confianza altos directivos con una
emergentes (véase el anexo B). La situación local puede ser revisada con 'necesidad de saber' y los agentes requieren acceso. Las organizaciones
frecuencia y brevemente contra los cambios en las condiciones relativas a los pueden considerar publicación de una descripción genérica para uso interno
locales. y / o para presentar a los auditores externos. Tal evita descripción del detalle
que podría ser de valor para un atacante. Los auditores externos deben
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

respetar la naturaleza sensible del proceso TACCP.

© la British Standards Institution 2017 19

 PAS 96: 2017

Estudios Anexo A (informativo)

TACCP de casos

NOTA Estos estudios de casos son completamente ficticios y cualquier parecido con • el Jefe de Auditoría Interna tiene la responsabilidad delegada para
las organizaciones reales es pura coincidencia. la seguridad y prevención de fraude;

• el equipo TACCP también recibió contribuciones de otros

administradores en temas especializados; y
A.1 Generalidades
• Este caso hace estudiar el uso de la información en el informe del grupo consultivo
Esto presenta anexo cuatro estudios de casos para ilustrar cómo el de expertos: Las lecciones que pueden aprenderse de la carne de caballo incidente

proceso TACCP se puede adaptar, operado y reportado por diferentes 2013 [34].

organizaciones para reflejar su situación de negocios. Se escriben como

registros formales de la evaluación de riesgos y no intentan cualquier
contexto documentación de la empresa.
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

Un estudio de caso es una cadena nacional de comida rápida, y el estudio de caso B es

una pequeña empresa con un propietario / gerente que se encarga de todos los

asuntos estratégicos y operativos personalmente.

Estudio de caso C y D estudio de caso se pretende que los problemas de seguridad más

destacado cibernéticos que enfrentan las empresas alimentarias innovadoras. Estudio de caso C

es una iniciativa de alimentos por un Internet establecida, pero no a los alimentos, operador.

Estudio de caso D es una empresa profesional de alimentos con el objetivo de aprovechar las

oportunidades digitales.

En todos los casos el proceso TACCP ha cambiado deliberadamente de la

descrita en la cláusula 5 para animar a los usuarios de esta PAS a adoptar un
enfoque de mente abierta.

Un estudio A.2 Caso

Un estudio de caso presenta un ejemplo de informe siguiendo el trabajo de

investigación del equipo de TACCP en Burgers4U, una cadena nacional de comida
rápida. Los supuestos realizados son los siguientes:

• Burgers4U es una cadena de comida rápida ficticia con la propuesta única de

venta (USP) que elabora sus propias hamburguesas. A nivel nacional es un
importante operador pero no tiene ningún negocio internacional;

• la hamburguesa estándar se considera que es típico de la gama:

estándar, jumbo, de vegetales, queso, y chile;

• el Director de Operaciones de Burgers4U conduce Comité de

Planificación de Emergencia y la continuidad del negocio de la
compañía;

20 © la British Standards Institution 2017

 PAS 96: 2017

TACCP Un estudio de caso

Empresa: BURGERS4U

Ubicación: Todos los puntos de venta de la calle

Producto: hamburguesa de comida para llevar Estándar

TACCP equipo: Contratación Director de Operaciones

(Presidente) Director de Recursos
Humanos Jefe Director Técnico Director de
Auditoría Interna

Tabla A.1 - Información de la amenaza

No hay amenazas a la empresa y info- método de operación posible comentarios

sistemas de:

UN derechos de los animales El vandalismo o sabotaje Poca evidencia de actividad

actual
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

si hacktivistas denegación de servicio distribuido ataque (DDoS) en El desarrollo de perfil de la empresa pueden

el sitio web provocar ataques

C los compradores de la compañía Fraude; colusión con los proveedores Establecido equipo que trabaja de forma
autónoma

re Los criminales falsificación; apropiación indebida de los El aumento del riesgo como fortalece

envases la marca

No hay amenazas a las poblaciones de: método de operación posible comentarios

mi Los partidarios de las empresas locales Publicidad adversa; 'La culpa por Algunos lugares reportan altos niveles de
asociación' con la comida rápida interés de la prensa

F personal de la empresa con exceso de trabajo, el contaminación Petty; posible Algunos escasez de personal donde
desencanto podría conducir a la alianza con los contaminación intencionada grave hay poca educación post-18; y en
extremistas (por ejemplo, los terroristas) lugares con una reputación
extremista

sol grupos monotemáticos infestación deliberada de Locales Algunos precedentes recientes

H Personal de primera línea Robo; connivencia con los clientes rigurosa auditoría en su lugar; gestores Outlet
digno de confianza (Personal controles de
seguridad)

No hay Amenazas a producto de: método de operación posible comentarios

yo Proveedores de carne EMA - proteína no animal, o carnes nonbeef, Carne de vacuno se especifica y se espera que,

carne sustitución a pesar de que no se reivindica en la publicidad

J Personal de primera línea la cocción insuficiente deliberada de Patty Rotas minimizar la posibilidad de
colusión
K Personal de primera línea La venta de hamburguesa demasiado tiempo

después de envolver

L grupo ideológicamente motivado contaminación malicioso del nivel oficial amenaza sin
componente cambios

NOTA Los informes de prensa de preocupaciones acerca de la autenticidad de alimentos son pertinentes.

© la British Standards Institution 2017 21

 copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

22
Figura A.1 - la identificación de amenazas

24 Fuente
comienzo
consumibles

23 Fuente de
PAS 96: 2017

envasado

01 Selección de 25 Fuente salmuera 26 Envío hacia 27 Ambient

panadería & adornar Burgers4U almacenamiento

10 Select
04 Fuente de harina 11 Fuente
matadero /
Y ingredientes carne
planta de corte
menores
27 Ambient 28 Entregar al 29 Órdenes

almacenamiento restaurante de recuperación

agua 02 13 Envío hacia

12 carnicería
Mains Burgers4U

03 Almacenamiento de agua, 15 Pesar 32 Mover a 33 Preparar 34 Wrap

14 de almacenamiento Chill
ajustar la condimentos etc. cocina hamburguesa hamburguesa

temperatura

05 Mix, dividir,
probar, bollos 17 Pique la empanada 16 Pesas carne 36 Recibir 35 de

de pasteles lotes de carne picada orden almacenamiento caliente

06 frío, congelación, 18 pattys del 19 pattys 37 suministro 38 Recibir

bollos paquete Formulario Freeze orden efectivo

31 de

almacenamiento en frío

08 De Paquete de 20 39 Eliminar los

07 paletizar 21 paletizar
almacenamiento en frío a casos desperdicios

09 Envío hacia 22 De 29 Órdenes 30 Entregar al

Final
Burgers4U almacenamiento en frío de recuperación restaurante

© la British Standards Institution 2017

 copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

Tabla A.2 - la identificación de amenazas

Paso Paso de proceso Amenaza Acceso vulnerabilidad Mitigación Mezcla; Impacto del QA / QC Probabilidad Impacto

No Contaminación proceso de

01A Seleccionar panadería Varios personal eventual Staff de Contratos - - - - -

producción requieren
protocolos de

© la British Standards Institution 2017

seguridad
personal

01B Seleccione panadería Fraude Colusión Los compradores Pequeño - - - 2 3

02 Agua de la red contaminación depósitos de Los ingenieros El control toxinas solubles Puede inhibir la Puede fallar 1 1
malicioso almacenamiento a granel de servicios efectivo del levadura; puede pruebas

acceso afectar a la masa de sensoriales

manipulación

03 Almacenar agua; Como anteriormente depósitos de Como anteriormente Como anteriormente Como anteriormente Como anteriormente Como anteriormente 1 1
ajustar almacenamiento de lotes

temperatura

04 harina de fuente sustitución Poco ventaja de - - - - - - -

+ menor fraudulenta costos a
ingredientes defraudador

05 Mezcla, dividir, probar contaminación operación de mezclado operativa mezclador El personal capacitado la toxina en Puede inhibir la Puede fallar 1 1
los bollos, pasteles malicioso por lotes especializada y con experiencia polvo levadura; puede pruebas

afectar a la masa de sensoriales

manipulación

06 Fresco, congelado, - - - - - - - - -
bollos paquete

07 paletizar - - - - - - - - -

08 Almacenamiento en frio - - - - - - - - -

09 Entregar a - - - - - - - - -
PAS 96: 2017

Burgers4U

23
 copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

Tabla A.2 - la identificación de amenazas ( continuado)

24
Paso Paso de proceso Amenaza Acceso vulnerabilidad Mitigación Mezcla; Impacto del QA / QC Probabilidad Impacto

No Contaminación proceso de
PAS 96: 2017

10A Seleccionar matadero / Fraude Colusión Los compradores Pequeño - - - 3 5

de despiece

10B Seleccionar matadero sustitución La mala segregación Los conductores de identificación animal La carne de Despreciable pruebas 2 3
planta / corte fraudulenta de las especies reparto; el personal única registró fuentes más aleatorias pueden

de proceso baratas detectar a menos

que la colusión

11 fuente carne sustitución La mala segregación La gestión de La carne de Despreciable pruebas 4 3

fraudulenta de las especies procesos y el fuentes más aleatorias pueden

personal baratas detectar a menos

que la colusión

12 Carnicería sustitución La mala segregación dirección y personal La carne de Despreciable pruebas 2 3

fraudulenta de las especies proceso de fuentes más aleatorias pueden

baratas detectar a menos

que la colusión

13 Entregar a El secuestro de la responsabilidad del - - - - - - -

Burgers4U envío proveedor

14 almacenamiento refrigerado - - - - - - - - -

15 Pesar contaminación Manual de dirección y personal rigurosas toxinas en Puede no despreciable 1 3

condimentos, etc. malicioso operación proceso de normas de polvo pruebas

higiene sensoriales

dieciséis Pesar carne para carne Como anteriormente Como anteriormente Como anteriormente Como anteriormente Como anteriormente Como anteriormente Como arriba Como arriba Como

picada anteriormente

17 lotes empanada de Como anteriormente Como anteriormente Como anteriormente Como anteriormente Como anteriormente Como anteriormente Como arriba Como arriba Como

carne picada anteriormente

© la British Standards Institution 2017

 copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

Tabla A.2 - la identificación de amenazas ( continuado)

Paso Paso de proceso Amenaza Acceso vulnerabilidad Mitigación Mezcla; Impacto del QA / QC Probabilidad Impacto

No Contaminación proceso de

18 pattys del formulario Como anteriormente Como anteriormente Como anteriormente Como anteriormente Como anteriormente Como anteriormente Como arriba Como arriba Como

anteriormente

© la British Standards Institution 2017

19 pattys congelación - - - - - - - - -

20 Empacar para casos - - - - - - - - -

21 paletizar - - - - - - - - -

22 Almacenamiento en frio - - - - - - - - -

23 Fuente Malversación; la seguridad del conductores de Pequeño - - - 2 4

embalaje falsificación depósito con la entrega de

proveedor la agencia

24 Fuente - - - - - - - - -
consumibles

25 guarnición de pepinillos + la sustitución de - - marcas - - - - -

Fuente ingredientes establecidas;
contratos
fiables

26 Entregar a - - - - - - - - -
Burgers4U

27 Ambiente de almacenamiento - - - - - - - - -

28 Entregar al - - - - - - - - -
restaurante

29 recoger pedidos - - - - - - - - -

30 Entregar al - - - - - - - - -
restaurante

31 Almacenamiento en frio - - - - - - - - -
PAS 96: 2017

25
32 Mover a la cocina malicioso Fuera de las horas; sin storestaff noche Tamper casos pattys 'pinchos' Pequeño Ninguna 1 3
sustitución supervisión evidentes
 copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

Tabla A.2 - la identificación de amenazas ( continuado)

26
Paso Paso de proceso Amenaza Acceso vulnerabilidad Mitigación Mezcla; Impacto del QA / QC Probabilidad Impacto

No Contaminación proceso de
PAS 96: 2017

33 preparar hamburguesas la cocción insuficiente trabajador solitario El personal del fabricación - - Ninguna 1 2
deliberada restaurante seguridad
alimentaria rigurosa

34 hamburguesa envoltura - - - - - - - - -

35 almacenamiento en caliente - - - - - - - - -

36 Orden recibida - - - - - - - - -

37 para la oferta Vendiendo demasiado El director del - procedimientos de - - - 2 2

tiempo después de envolver restaurante bajo seguridad

presión personal

desperdicio

38 recibir efectivo Robo El personal del Contador personal Automatizado - - - 4 1

restaurante cajas registradoras;

rigurosa auditoría

39 Eliminar los residuos apropiación indebida; contenedores externos Público la eliminación diaria - - - 1 2
falsificación desbloqueados

NOTA El símbolo '-' indica 'no aplicable' o 'no significativo'.

Tabla A.3 - Evaluación de amenazas

Amenaza Descripción paso vulnerables Probabilidad Impacto acción protectora

UN El vandalismo o sabotaje todas las localizaciones 1 2 mantener la vigilancia

si Ataque DDoS en el sitio web Márketing 3 3 Garantizar una práctica buena seguridad cibernética

C: 01B Fraude; colusión con los proveedores Seleccione panadería 2 3 rotación en el trabajo <5 años

© la British Standards Institution 2017

C: 10A Seleccionar matadero planta / corte 3 5 Auditoría interna
 copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

Tabla A.3 - Evaluación de amenazas ( continuado)

Amenaza Descripción paso vulnerables Probabilidad Impacto acción protectora

D: 23 falsificación; apropiación indebida de los fuente envases 2 4 requerimiento al proveedor; nuevo proveedor si no hay mejoría en
envases la seguridad después de 6 meses

D: 39 Eliminar los residuos 1 2 Ninguna otra acción

© la British Standards Institution 2017

mi La publicidad adversa: 'La culpa por Corporativo 2 1 Revisión de la estrategia de relaciones públicas

asociación' con la 'comida rápida'

F: 32 contaminación Petty; Mover a la cocina 1 3 Parte utilizada casos a ser la seguridad sellada por el gerente

Posible contaminación
intencionada grave

sol infestación deliberada de Locales restaurantes 1 2 mantener la vigilancia

H: 38 Robo: la colusión con los clientes recibir efectivo 4 1 Ninguna otra acción

I: 10B EMA - proteína no animal, o carnes nonbeef, Seleccionar matadero planta / corte 2 3 gestión más fuerte de proveedor: auditoría técnica, muestreo
carne sustitución regular / pruebas ad hoc, facilitan la denuncia de irregularidades
I: 11 fuente carne 4 3

I: 12 Carnicería 2 3

J: 33 la cocción insuficiente deliberada de Patty preparar hamburguesas 1 2 Ninguna otra acción

K: 37 La venta de hamburguesas demasiado tiempo para la oferta 2 2 Ninguna otra acción

después de envolver

L: 02 contaminación malicioso del Agua de la red 1 1 Ninguna otra acción

componente
L: 03 Almacenar agua; ajustar la temperatura 1 1

L: 05 Mezcla, dividir, probar los bollos, pasteles 1 1

L: 15 Pesar condimentos, etc. 1 3 El personal clave de seguridad personal cumpla con las

normas
PAS 96: 2017

27
 PAS 96: 2017

Figura A.2 - priorización de amenazas

C: 10A

5
D: 23

C: 01B I:
F: 32
Impacto

10B I: si I: 11
L: 15
12
4321

AD:
39 GJ:
K: 37
33
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

mi H: 38

1 2 3 4 5
Excluye (1,1) amenazas
Probabilidad

Conclusiones A.3 La página web Burgers4U no es un instrumento de venta principal, pero juega un
papel importante la comercialización. El Jefe de Auditoría Interna se encarga de
TACCP dio un registro amenaza de amenazas, 19, 9 de ellas bajo
lidiar con el Departamento de Sistemas de negocios para asegurar la adecuada
control satisfactorio.
financiación de los procedimientos de seguridad informática en general, y en contra
de ataques de denegación de servicio en particular. Consejos y ofertas para
Fraude en la selección de la planta matadero / corte es la mayor amenaza
servicios de respuesta cibernéticos pueden buscarse (por ejemplo, de CREST
para Burgers4U. En marcha penas de costes y daños a la reputación
aprobó proveedores). Se prevé ninguna reducción en la evaluación (3,3).
significativa que pudiera resultar. Estrechamente vinculadas son las amenazas
de especies o sustitución proteína no carne. Dentro del equipo TACCP, el
Gestor Técnico se encarga de la aplicación de medidas de protección con el
objetivo de reducir la amenaza a (2,3) dentro de los 12 meses. Esta acción es
El Director Técnico es monitorear las fuentes oficiales y de la industria
probable que también mitigar otras amenazas de abastecimiento.
de información e inteligencia sobre los riesgos emergentes y decidir con
el presidente del equipo TACCP si se debe convocar al grupo antes de
su programada 6 reunión de rutina mensual.

Como marca con una creciente reputación por la calidad y la integridad, la

amenaza de los aumentos de los productos falsificados. El proveedor
tradicional de material de embalaje impresa no reconocer esto y tiene
A.4 Estudio de caso B
medidas de seguridad físicas inadecuadas en su lugar. Como socio de otra
manera fiable, el Gerente de Compras se encarga de desafiar el proveedor Caso B estudio presenta un ejemplo de informe de evaluación de amenazas
para remediar la situación o encontrar una alternativa. Esta amenaza se de Bridgeshire Cheese Company. Fue preparado, solos en ausencia de otros
debe evaluar como (1,3) o mejor dentro de los 6 meses. colegas ejecutivos, por
A. Bridgeshire el socio gerente, y resume su evaluación individual de las
amenazas que enfrenta. Bridgeshire Cheese Company es una pequeña
familyfarm ficticia de propiedad y operación orgánica venta productora de
queso a tiendas especializadas y empresas de servicios de alimentos.

Tabla A.4 representa un ejemplo de informe de evaluación de amenazas. Figura A.3

representa un diagrama de flujo evaluación de la vulnerabilidad.

28 © la British Standards Institution 2017

 copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

Tabla A.4 - Informe de Evaluación de amenazas 20170602

Amenaza Desde Amenaza Vulnerabilidad UN) Mitigación Consecuencia Impacto La acción protectora probabilidad
No

1 proveedores suministro no 'Top-up' de la leche; Todos los productos de los Pérdida de la condición 5 2 Requerir certificado de conformidad para
orgánico Comprado-en terneros; proveedores acreditados orgánica todas las compras especiales

© la British Standards Institution 2017

semen SI)

2 Vecinos enfermedades del ganado Derechos de paso a Bioseguridad La pérdida de la manada y / o 3 2 Instalar depósito para evitar la
sobre-reaccionar a generalizada través de la granja cumple con las cobertura de seguro descarga de efluente cuando el viento
'efluentes mejores prácticas desde el SW
molestia'

3 El personal BCC contaminación Las operaciones manuales, sin Todo el personal son enfermedad localizada 2 1 Ninguna otra acción
malicioso supervisión (proceso en gran miembros de la familia o posible

medida selfcontrolling) socios de confianza a

largo plazo; Todos los

lotes se prueban el sabor

4 granjas adyacentes Ensayos de GM Perímetro pastos campaña de Pérdida de la condición 4 3 La acción cooperativa con la asociación

cultivos organización de orgánica comercial para funcionarios elegidos

acreditación vestíbulo

5 criminales El robo de distribución del producto, vehículo Pequeño Valor de los bienes; La 2 3 Reemplazar con vehículo más
oportunistas menudo no tripulado y pérdida de la reputación moderno en primera oportunidad
desbloqueado de fiabilidad

6 Los delincuentes cibernéticos ataque remoto La manipulación de la 'de la Proveedor es de peligrosidad del producto 5 1 Mantener el análisis de control de

Nube en clavija' sistema SCADA para tranquilizador de debajo de procesamiento calidad por separado seguir el consejo
proceso de reducir el tiempo de NCSC
producción pasteurización / temperatura
controlado

UN) Ver Figura A.3 para la evaluación completa proceso de vulnerabilidad.

SI) Otros productos se obtienen habitualmente a partir de empresas acreditadas de larga data.
PAS 96: 2017

29
 copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

30
Figura A.3 - Evaluación de vulnerabilidad

fuente
comienzo
fertilizantes la cría de Las operaciones

ganado de limpieza
PAS 96: 2017

Fuente de ganado

Fuente

alimentar el suelo
sala de ordeño
promotor de Fuente operaciones

hierba

seed Fuente

otros materiales Guarde la leche

agrícolas incluidos el

semen
pasteurizar la leche

leche Chill

Guarde la leche suero

Por lotes, el temperamento, suero de leche

Inocular, separada
Fuente Fuente incubado

cuajo 'top-up'
Cuajada

leche, el agua

Fuente culturas quesos de forma y Tienda, invertir Muestra para el

Fuente inocular hasta el estiércol sabor

materiales de

embalaje Wrap, etiqueta,

Parte
Fuente paquete

Almacén Distribuir Rebaja Final

© la British Standards Institution 2017

 PAS 96: 2017

A.5 Estudio de caso C FryByNite tiene como objetivo ofrecer comida caliente recién hecha a la puerta
de los clientes dentro de los 30 minutos de recibir una orden web o teléfono. El
FryByNite es una nueva empresa, el servicio nacional de entrega de comida
producto estándar es de pescado y patatas, con cada vehículo de salida que
caliente de una importante compañía de comercio general basado en Internet. La
lleva freidoras programables. El producto crudo se ordena través de Internet
compañía es líder mundial en su campo de software y gestión de la logística, pero
desde una red de puntos de venta de comida rápida contratados. Estos preparan
es nuevo en las operaciones comerciales de alimentos. Se reconoce su debilidad
la comida y cargarlo en las cestas de fritura usados ​por el vehículo de suministro.
en los alimentos y tiene un especialista en alimentos consultor en el contrato por la
Un sistema de posicionamiento global (GPS) estima el tiempo a las instalaciones
duración de la puesta en marcha y consolidación de las fases de FryByNite.
de los clientes e iniciados el proceso de fritura. Cuando esté listo, las cestas de
fritura se retiran de forma automática y la comida se envasa y se mantiene
caliente para que el cliente recibe comida caliente recién hecha en mejores
condiciones que si hubieran visitado la salida de sí mismos. (Ver Figura A.4)

Ejemplo producto: pescado frito y patatas fritas para la entrega a domicilio (como típica
del menú)
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

Figura A.4 - FryByNite flujo de trabajo

Inicio: A. Recibir fin de

sitio web o por teléfono

B. Confirmar detalles de la cuenta y C. Pinpoint orden proveedor y lugar D. contacto en mejores condiciones FBN

recibir el pago más cercano Van

E. FBN Van a proveedor y el orden a F. remoto programación de FBN Van

cobro revertido freidoras

H. viaje al cliente y entregar G. carga las materias primas hasta

freidora

conductor I. FBN J. Weekly, drene freidoras y

Final
entrega confirma reemplazar aceite

© la British Standards Institution 2017 31

 PAS 96: 2017

TACCP Equipo: Director de Recursos Humanos

(Presidente)
Director de Sistemas de Información
alimentos Consultor técnico jefe de
seguridad

información de la amenaza

NOTA Como una nueva 'marca' FryByNite está cubierto por la celebración de los
procedimientos de gestión de riesgos de la empresa y de planificación de contingencia.
Por tanto, el TACCP aborda los aspectos operativos de la nueva empresa.

Cuadro A.5 - Información de la amenaza

No hay actores de amenazas Las amenazas a la empresa de: método de operación comentarios
posible

1 hacktivistas El fallo de sistema de pedidos ataque DDoS Protegidos por los sistemas de toda la
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

basado en la web compañía y la experiencia

2 Estados nacionales La pérdida de la navegación El exceso de compromiso y / o No hay control sobre los actores

basada en GPS mantenimiento inadecuado por los amenaza, sino una fuerte protección

operadores de satélites. contractual con los operadores

3 extorsionistas Exfiltración de datos sensibles Los mensajes de phishing para el personal Ransomware fácilmente
disponibles

4 Insiders El robo de IP El acceso no autorizado a los

privilegios administrativos

Las amenazas a la del producto:

5 proveedores Comida envenenada manejo inadecuado de producto

agraviadas

6 Competidores Comida envenenada El fallo de la cocción van De corte de energía, o la subversión

régimen de los controles de los procesos

7 El personal Comida envenenada contaminación malicioso la seguridad personal de

perjudicada inspección en el lugar

Las amenazas a las operaciones de:

8 Los criminales Ataque en el vehículo / conductor Atraco por dinero en efectivo Signos: “No hay dinero que tuvo lugar en este

vehículo” en su sitio

9 vándalos daño Petty al vehículo el oportunismo no las zonas de mayor riesgo en el sistema

planificada al azar de navegación vía satélite observaron

10 Los defraudadores Pérdida de ingreso El uso de los datos personales robados para

crear una cuenta falsa

32 © la British Standards Institution 2017

 copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

Tabla A.6 - Evaluación de amenazas

amenaza paso Amenaza Vulnerabilidad Mitigación Adulterante / Comentario Probabilidad Impacto

nº Contaminante

UN DDoS ( 1) A1 Alta - sitio público sistemas corporativos dan - Molestia; pérdida de 4 2

la alerta temprana ventas; clientes
molestos

© la British Standards Institution 2017

UN insuficiencia interbancaria ( 2) A2 sistema de transferencia Mantener estrechos vínculos - Pequeña posibilidad de pérdida 2 4
electrónica de fondos es un con los operadores de importante

objetivo primordial cibernética, sistemas

pero bien protegido

si cuenta B1 punto de entrega ficticio Consultar nuevas cuentas - Derrochador de tiempo 1 1

fraudulenta ( 10) en la configuración

C Proveedor no C1 Bases de datos de retraso Estrecha colaboración con los - 1 1

disponible proveedores

C Producto C2 Batter puede ser Proveedores examinados Químicos tóxicos; bacterias Proveedor no conoce la 1 4
contaminación ( 5) objetivo para la operación de HACCP formadores de esporas identidad del cliente, a
( 6) (7) menos que la colaboración

C Producto C3 fraude alimentario Como C2 Intercambio de especies La reputación y la 3 2

sustitución ( 5) oportunista regulación

re insuficiencia GPS D1 Señal debil Enlace con los - planes de contingencia 1 1

proveedores de

telecomunicaciones

F La corrupción del F1 La nueva tecnología: Las pruebas han - Incendio o mal cocinado de 3 5
sistema de control con engancha probable revelado la capacidad de recuperación alimentos posible

malware ( 1)
( 4)

sol la cocción insuficiente G1 filetes de gran tamaño Los límites de tamaño - producto comestible 1 1
PAS 96: 2017

33
 copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

Tabla A.6 - Evaluación de amenazas ( continuado)

34
amenaza paso Amenaza Vulnerabilidad Mitigación Adulterante / Comentario Probabilidad Impacto

nº Contaminante
PAS 96: 2017

sol Producto G2 operación manual sin selección de Químicos tóxicos; bacterias 2 4

contaminación ( 4) supervisión personal formadores de esporas

H Los retrasos en la ruta H1 el tráfico inesperado o Las actualizaciones - Compensación si no comestible 3 1

obras viales automáticas de navegación vía satélite comida

H Asalto en el personal ( 8) H2 Algunos clientes La formación del personal en la - Una de las principales 2 5
difíciles y áreas. prevención de conflictos preocupaciones en algunas áreas

H Daños al vehículo ( 9) H3 Vehículo sin las zonas de mayor riesgo en - en gran medida las molestias 1 2
supervisión durante el sistema de navegación vía

el parto satélite observaron

J una eliminación inadecuada de J1 El personal bajo presión Sustitución 'nuevo por - daños a la reputación 1 2
los aceites usados ​( 7) en busca de atajos viejo'

J El uso de aceite incorrecto J2 El personal bajo presión en Sustitución 'nuevo por Otros aceites comestibles Aceites Temas: el etiquetado; alergia; 1 4
busca de accesos directos o viejo' integridad; toxicidad; seguridad
minerales químicos orgánicos tóxicos
errores que cubren contra incendios

© la British Standards Institution 2017

 PAS 96: 2017

Figura A.5 - priorización de amenazas

4 A1
Probabilidad

3 H1 C3 F1

2 G2 A2 H2
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

B1 C1 D1
1 J1 H3 C2 J2
G1

1 2 3 4 5
Impacto

© la British Standards Institution 2017 35

 PAS 96: 2017

Cuadro A.7 - Registro de Amenazas

Amenaza Valoración Descripción Además Responsabilidad Comentario

(L, I) acción
defensiva

F1 (3,5) La corrupción de sistema de Revisión diaria por Director de Info Objetivo (2,3) dentro de un año.
control de proceso para las fases puesta en Tech
freidoras marcha y
consolidación.
Construir el contacto
con el proveedor de
software.

A1 (4,2) DDoS - sitio web Construir contacto Director de Info En marcha. riesgo de amenaza poco

NCSC. Realizar un Tech probable que cambie.

seguimiento de la charla
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

medios de comunicación social.

H2 (2,5) Asalto en el personal Evaluar el uso de Director de Info Con el Director de Recursos
cámaras corporales Tech Humanos

C3 (3,2) la sustitución de productos Introducir bajo nivel Consultor de tecnología de Target (1,2)
fraudulentos abierta muestreo del los alimentos

producto

A2 (2,4) el fracaso de transferencia de Continuar los Director de Info Seguro de cobertura adecuada.
fondos entre bancos protocolos Tech
actuales.

G2 (2,4) la contaminación del Introducir Director de Recursos Target (1,4)

producto malicioso rutinas de Humanos
seguridad de
personal en
curso.

H1 (3,1) Los retrasos en la ruta Continuar los Bajo el control proporcional.

protocolos
actuales.

J1 (1,2) una eliminación inadecuada de los Revisión y promover Director de Recursos Target (1,1) dentro de un año.
aceites usados 'nuevo por viejo' Humanos
modelo.

H3 (1,2) Daños al vehículo Continuar los Bajo el control proporcional.

protocolos
actuales.

36 © la British Standards Institution 2017

 Cuadro A.7 - Registro de Amenazas ( continuado)

Amenaza Valoración Descripción Además Responsabilidad Comentario

(L, I) acción
defensiva

C2 (1,4) la contaminación del Incluir el manejo de Consultor de tecnología de riesgo de amenaza poco probable que

producto malicioso productos químicos no los alimentos cambie.

alimentarios en la

homologación de

proveedores.

J2 (1,4) El uso de aceite incorrecto La tecnología de Director de Recursos riesgo de amenaza poco probable que

construcción en la Humanos cambie.

formación de inducción.

B1 (1,1) cuenta fraudulenta No se requieren - Bajo el control proporcional.

copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

mas acciones.

C1 (1,1) Proveedor no la formación de la Director de Recursos -

disponible opinión del Humanos
administrador de

base de datos.

D1 (1,1) insuficiencia GPS No se requieren - Bajo el control proporcional.

mas acciones.

G1 (1,1) productos poco No se requieren - Bajo el control proporcional.

cocinados mas acciones.

Comentario
1. Como un nuevo desarrollo de los planes del equipo TACCP a reunirse

mensualmente para revisar los desarrollos.

2. En todo el equipo ha identificado 15 amenazas de las que siete

requieren una acción protectora sustantiva.

3. El control remoto de la operación de freír crea la oportunidad para las

nuevas amenazas (F1) que recibirían la atención de alto nivel y prioridad
de la organización.

4. Las precauciones, es decir, una formación adecuada, desde el lanzamiento de la iniciativa

han mantenido la probabilidad de asalto a la baja del personal, pero es necesario seguir

trabajando.

5. altos directivos de la empresa matriz continúan su política de evitar

una imagen pública de alto perfil que ayuda a reducir la posibilidad de
FBN ser un objetivo.
 PAS 96: 2017

A.6 Caso de estudio D Ahora, la compañía ha llevado a cabo un movimiento masivo en la

automatización y el control remoto de ambas operaciones de cultivo y el paquete
F. Armer y hijas Ltd es una compañía agrícola establecida con una reputación
interno. Se ha comprometido a la utilización de la vigilancia vehículo aéreo no
envidiable de 'buenas prácticas'. El negocio ha evolucionado y crecido desde sus
tripulado (UAV) de los cultivos para mejorar la gestión del riego, aplicación de
orígenes como una granja familiar mixto suministro de su población local con
pesticidas, fertilizantes y otros tratamientos, y la cosecha. Se pretende integrar
productos de temporada a través de su arancel hortícola amplio presente. La
plenamente refrigeración, limpieza, limpieza y embalaje de los productos. Su
actividad principal es 'fresco como puede ser fresca' de suministro de verduras
objetivo es reducir significativamente aún más el tiempo del campo a la
para la venta al por menor. Algunos cereales de frutas y especialistas
expedición.
complementan la producción de hortalizas. Existe un interés creciente en el
suministro a las operaciones de servicio de alimentos.

Como parte de esta iniciativa y que no se detiene a cabo, los Administradores

han contratado un especialista en seguridad de la información de consultoría
para llevar a cabo un ejercicio de TACCP relacionada específicamente con los
El negocio es administrado sobre una base del día a día a las nietas del
nuevos sistemas de información. La gestión de riesgos del negocio convencional
fundador de la granja, el padre de la F. Armer que nombró a la empresa y sigue
está bien establecida. La intención es que tienen controles proporcionados en su
siendo su presidente. Emplea un pequeño equipo para ejecutar la fábrica de
lugar.
limpieza y el embalaje altamente mecanizada, sino que depende en gran
medida de los contratistas agrícolas para el cultivo de trabajo, el uso de personal
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

temporal a los períodos de mayor cobertura. Se ha comprometido a verificación

externa de sus procesos y procedimientos y recibe informes a modo de ejemplo
a partir de organismos de acreditación y múltiples clientes por igual. Estos
procedimientos incluyen un método eficaz para la gestión de riesgos.

Tabla A.8 - Las posibles fuentes de actividad maliciosa que afectan F. Armer y hijas Ltd

Mayor amenaza de: Moderar la amenaza de: amenaza más bajo de:

hacktivistas ex empleados alienados que buscan Competidores

venganza

El sabotaje de la infraestructura de Los terroristas que buscan publicidad defensores del medio ambiente
soporte de TI

extorsionistas Contratistas

Los delincuentes que roban IP innovadora

38 © la British Standards Institution 2017

 copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

Tabla A.9 - Evaluación de amenazas

Amenaza Sistema Amenaza Vulnerabilidad Mitigación Comentario Probabilidad Impacto

No.

TN1 Electrónico La falta de líneas telefónicas La operación puede ser lento, pero no arreglos personales fuertes con 2 3
pedidos de los (si el tiempo, accidente, el ha fallado en 5 años los compradores por lo que la
clientes sabotaje, la incompetencia) llamada móvil es un recurso

© la British Standards Institution 2017

TN2 Electrónico La corrupción de datos La intervención de personas no Grandes variaciones de los 2 2
pedidos de los durante la transferencia autorizadas volúmenes planificados le pedirá
clientes confirmación

TN3 Levantamiento Mal funcionamiento de la La interrupción de la operación de limpieza / vivienda Secure, La entrada manual 4 4
procesamiento de transferencia de datos embalaje que lleva a pérdida importante, la tamperevident para retrasará la operación de
pedidos de paquete escasez de productos y el tiempo de equipos embalaje en un grado
de la casa inactividad inaceptable

TN4 El aumento de la carga del Corrupción de datos Las principales sanciones escala de los transportistas contratados 2 3
vehículo y documentos de envíos rechazados con pocas probabilidades de

entrega discrepancias nota

TN5 UAV Cámaras y sensores fallan El control remoto de dispositivo puede actualizaciones de software Tanto daño causado y el 3 2
monitoreo de los en detectar problemas ser asumida por los actores maliciosos instalados de rutina robo del dispositivo podría
cultivos emergentes ser incentivos para la
negligencia

TN6 sistema de Pública de adquisición de un rescate El acceso remoto por los directores a back-up diario independiente Clave para la 2 2
registros de finca por parte de delincuentes través de Internet ofrece oportunidades reduciría las pérdidas práctica operativa
equipo para los delincuentes y acreditación
externa

TN7 Sistemas de Sabotaje de controles Alto costo instrumentos altamente Actualización y ingeniero de servicio 1 5
control electrónicos sofisticados no se pueden duplicar, mantenimiento es contratado en la llamada
industrial por lo que no funcionamiento = no riguroso 24/7
PAS 96: 2017

productivo

39
 PAS 96: 2017

Figura A.6 - priorización de amenazas

5

TN3
Probabilidad

TN5 TN4 F1
4321

TN6 TN1 G2 A2 H2
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

TN2 TN7

1 2 3 4 5
Impacto

Comentario

1. La empresa ha adoptado plenamente 'fabricación totalmente integrado' como

su camino hacia la eficiencia y el servicio al cliente, pero todavía no es
plenamente consciente de las vulnerabilidades que están implicados. La
consultoría especialista en seguridad de la información se ha contraído más para
completar la evaluación de amenazas y recomendar controles proporcionados.

2. Siempre que sea posible, los sistemas duplicados son para ser operado
hasta la finalización de la evaluación.

3. Apoyo y asesoramiento de ncsc.gov.uk se utiliza para aumentar la conciencia entre los

contratistas principales y personal de confianza.

4. Revisión que tendrá lugar en un mes.

40 © la British Standards Institution 2017

 PAS 96: 2017

Anexo B (informativo)
Las fuentes de información e inteligencia sobre riesgos emergentes al suministro de
alimentos

B.1 Generalidades B.2 Información y los niveles de inteligencia

La Organización Mundial de la Salud (a través de INFOSAN) y la Organización para Figura B.1 ilustra la difusión mundial y el intercambio de información e
la Agricultura y la Alimentación (a través de EMPRES y el SMIA) de las Naciones inteligencia sobre los riesgos a los alimentos que pueden ser usados ​para
Unidas para coordinar los esfuerzos globales para identificar nuevos riesgos y las actualizar las evaluaciones TACCP emergente. Cinco niveles se pueden
medidas de control Promulgar para minimizar su impacto.
utilizar para describir los diferentes niveles de intercambio de información,
siendo 1 el más bajo y 5 el más alto: Nivel 1 - Organización para la
Alimentación; Nivel 2 - Local; Nivel 3 - Nacional; Nivel 4 - Europeo; Nivel 5 -
Que difunden información a las organizaciones nacionales de alimentos como la
Food Standards Agency en el Reino Unido. Estas organizaciones nacionales de Internacional.

alimentos pueden ponerlo a disposición de las empresas alimentarias, normalmente

a través de asociaciones de comercio, pero en realidad es un proceso de 2 vías.
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

NOTA Los servicios de suscripción que proporcionan información útil

también incluyen:

• HorizonScan que supervisa las cuestiones globales de integridad de los

alimentos, ver: https://horizon-scan.fera.co.uk/;

• Fraude de alimentos de base de datos de la Convención de la Farmacopea de

Estados Unidos, ver: https://www.foodfraud.org/;

• US-CERT - Estados Unidos ordenador Preparación del equipo ver

https://www.us-cert.gov/.

© la British Standards Institution 2017 41

 PAS 96: 2017

Figura B.1 - difusión mundial de información e inteligencia sobre los riesgos a la alimentación emergente que puede ser utilizado para las
evaluaciones de actualización TACCP

INTERNACIONAL

EMPRES: Sistema de prevención de emergencia de Seguridad Alimentaria

(Organización para la Agricultura y la Alimentación)

INFOSAN: Red Internacional de Autoridades de Inocuidad de

Alimentos (Food & Agriculture Organization /
Organización Mundial de la Salud)

SMIA: Mundial de Información y Alerta Temprana del Sistema

copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

EUROPEO

RASFF: Sistema de alerta rápida para alimentos y piensos

(Comisión Europea)/
AESA: Autoridad Europea de Seguridad Alimentaria

Europol: Agencia Europea de Aplicación de la Ley Coopoeration

NACIONAL

Asociaciones de comercio / organismos profesionales /

Asociaciones de Investigación / Gobierno Nacional

LOCAL

la autoridad / Policía / medios de comunicación

locales / Otras empresas alimentarias locales

organización para la Alimentación

NOTA Para más información sobre estas fuentes internacionales se puede encontrar en la siguiente: INFOSAN http: // www.
who.int/foodsafety/areas_work/infosan/en/ [35], EMPRES http://www.fao.org/foodchain/empres-prevention-andearly-warning/en/ [36] y GIEWS http:
// www. fao.org/giews/english/index.htm [37].

42 © la British Standards Institution 2017

 PAS 96: 2017

Anexo C (informativo)
Enfoques complementarios a la protección de alimentos y bebidas

C.1 CARVER + Amortiguación plan de acción de 5 puntos C.2 UE

CARVER + Shock es una herramienta de priorización ofensiva que ha sido En respuesta al fraude de la carne de caballo en 2013, la Comisión Europea
adaptado para su uso en el sector de la comida americana. Al igual que estableció en su lugar el plan siguiente punto 5 [39].
TACCP, Carver + choque implica una organización de juego 'Equipo Rojo',
donde los miembros del equipo se ponen en el lugar del atacante potencial y 1) Desarrollar sinergias entre las fuerzas
preguntar: autoridades, garantizan un rápido intercambio de información sobre violaciónes

intencionales de las reglas de la cadena alimentaria, promover la participación de

Europol en las investigaciones.

Si quería causar daño, o hacer más dinero, o publicidad de
ganancia, o tomar ventaja de la situación de otra manera:
2) Asegúrese de que las normas sobre pasaportes para caballos se hacen cumplir

correctamente, que los pasaportes se entregan sólo por las autoridades

copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

• ¿Que debería hacer? competentes y que las bases de datos nacionales se crean.
• Cuando lo haría?

• Cuando lo haría? 3) Exigir que las sanciones financieras por intencional

violaciónes de las normas de la cadena alimentaria se establecerán a niveles
En efecto utilizan los militares herramienta para juzgar la orientación debilidades mediante suficientemente disuasorias, y que los planes de control de los Estados
la evaluación de sus: miembros incluyen controles sin previo aviso.

C riticality

UN ccesibilidad 4) Adoptar normas de etiquetado de origen obligatorio de la carne

(Oveja, cabra, cerdo, aves de corral, caballo, conejo, etc.) y entregar un informe
R ecognizability
en el otoño de 2013 sobre la posible ampliación de etiquetado de origen
V ulnerabilidad
obligatorio a todo tipo de carne utilizada como ingrediente en los alimentos.
mi fecto

R ecoverability 5) Presente y evaluar los resultados de los controles

Actualmente lleva a cabo en los países de la UE.
Más información sobre CARVER + Shock es disponible de Carver + Primer
Choque [38].

C.3 Reino Unido Alimentos y bebidas Federación

El Reino Unido Alimentos y bebidas (FDF) Guía de Federación el 'autenticidad

Alimentación: cinco pasos para ayudar a proteger su negocio de fraude alimentario
[40], la continuación de la guía del FDF 'Sostenible Sourcing: cinco medidas para
la gestión de riesgos de la cadena de suministro'[32] y proporciona información
sobre:

1) mapeo de la cadena de suministro;

2) la identificación de impactos, riesgos y oportunidades;

3) evaluación y priorización de sus hallazgos;

4) la creación de un plan de acción; y

5) la implementación, el seguimiento, la revisión y la

comunicación.

© la British Standards Institution 2017 43

 PAS 96: 2017

Anexo D (informativo)
10 pasos a la seguridad cibernética: Un responsabilidad a nivel directivo 29)

NOTA En este anexo se desarrolló a partir de material fuente proporcionado por el D.1.3 gestión proactiva del riesgo cibernético a nivel de la Junta es crítica
Centro Nacional de Seguridad Cibernética (NSCS).

1) El valor de impacto del riesgo de cuota de la seguridad cibernética,

fusiones, fijación de precios, de reputación, cultura, personal, información,

D.1 preguntas clave para los CEOs y las juntas control de procesos, la marca, la tecnología y las finanzas. Estamos
seguros de que:
Protección de los activos de información D.1.1 clave es crítica
• hemos identificado nuestros activos de información clave y
1) ¿Qué tan seguro estamos de que la mayor parte de nuestra empresa
evaluado a fondo su vulnerabilidad al ataque?
información importante se gestiona y está a salvo de las amenazas
informáticas?
• la responsabilidad por el riesgo cibernético se ha asignado de manera
2) ¿Está claro que la Junta probable que sea la llave son
adecuada? Es en el registro de riesgos?
objetivos?
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

• tenemos una política de seguridad de la información escrita en el

3) Por qué tenemos una imagen completa y precisa de:
lugar, que está defendido por nosotros y apoyado a través de la
• el impacto en la reputación, la acción de nuestra empresa o de la formación del personal regular? Estamos seguros de toda la plantilla
existencia sensible si la información interna o cliente en poder de la entiende y lo sigue?
empresa fueron a perderse o ser robado?

• el impacto en el negocio si nuestros servicios en línea fueron

interrumpidas por un período corto o sostenido?

D.1.2 La exploración que podrían comprometer nuestra

información y por qué

1) ¿Recibimos la inteligencia ordinaria del Jefe

Oficial de Información / Jefe de Seguridad sobre quién puede ser la
orientación de nuestra empresa, sus métodos y sus motivaciones?

2) Cómo animamos a nuestro personal técnico para entrar

en el intercambio de información compartidos con otras empresas de nuestro
sector y / oa través de la economía con el fin de punto de referencia, aprender
de otros y ayuda a identificar las amenazas emergentes?

29) Para más información sobre la seguridad cibernética, véase: https://www.ncsc.gov.uk/guidance/10-steps-board-level-responsibility [42].

44 © la British Standards Institution 2017

 PAS 96: 2017

Bibliografía

publicaciones Normas BS ISO / IEC 27001, Tecnología de la información - Técnicas de seguridad -

Sistemas de gestión de seguridad de la información
Para las referencias con fecha, sólo se aplica la edición citada. Para las
- Requisitos
referencias sin fecha se aplica la última edición del documento de referencia
(incluyendo cualquier modificación).
otras Normas

BS 10501, Guía para la implementación de controles de fraude de compras

Gestión de riesgos

BIP 2153, La gestión de riesgos de la manera ISO 31000

BS EN ISO 22000, sistemas de gestión de la seguridad de los alimentos - Requisitos

BS 31100, La gestión del riesgo - Código de prácticas y orientaciones
para cualquier organización en la cadena alimentaria
para la aplicación de la norma ISO 31000 BS
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

BS EN 31010, La gestión del riesgo - las técnicas de evaluación de riesgos

Otras publicaciones y sitios web
[1] Codex Alimentarius. CODEX CAC / RCP 1-1969: Principios
BS ISO 31000, gestión de riesgos - Principios y directrices generales de higiene de los alimentos. Roma: Codex Alimentarius, 2003.

PD ISO / TR 31004, La gestión de riesgos - Orientación para la implementación de la [2] CENTRO DE SEGURIDAD National Cyber. Glosario. Disponible a
norma ISO 31000 partir de: https://www.ncsc.gov.uk/glossary [vista de julio de 2017].

Gestión de crisis
[3] Food Standards Agency. Disponible en: https: //
BS 11200, Gestión de crisis - Orientación y buenas prácticas
www.food.gov.uk/enforcement/the-national-foodcrime-unit/what-is-food-crime-and-food-
[vista de julio de 2017].

Business Continuity Management

BS ISO 22301, sistemas de gestión de continuidad de negocio [4] Base de Datos de Fraude de Alimentos de los Estados Unidos Convención de la

- Los requisitos y directrices Farmacopea. Disponible a partir de: http://www.foodfraud.org/ [vista de julio de 2017].

BS ISO 22313, La sociedad de seguridad - sistemas de gestión de la continuidad

del negocio - Orientación [5] BBC. ' plástica del arroz' secuestrado en Nigeria. BBC, 2016.
Disponible en: http://www.bbc.co.uk/news/worldafrica-38391998 [vista

Cadena de Suministro de Seguridad de julio de 2017].

BS ISO 28000, Especificación para sistemas de gestión de seguridad para la

[6] OLIVA TIMES aceite. Italia 33 detenciones acusados ​de fraude aceite de
cadena de suministro
oliva. Aceite de Oliva Times, 2017. Disponible en: https: //
www.oliveoiltimes.com/olive-oil-business/italy-arrests33-accused-olive-oil-fraud/55364
BS ISO 28002, sistemas de seguridad para la gestión de la cadena de suministro -
[vista de julio de 2017].
Desarrollo de la capacidad de recuperación en la cadena de suministro - Requisitos con
orientación para su uso
[7] OLIVA TIMES aceite. Brasil revela el fraude generalizado aceite de oliva. Aceite
de Oliva Times, 2017. Disponible en: https: //
PD CEN / TR 16412, seguridad de la cadena de suministro (SCS) - Guía de buenas
www.oliveoiltimes.com/olive-oil-business/brazil-revealswidespread-olive-oil-fraud/56395
prácticas para los operadores de pequeñas y medianas empresas
[vista de julio de 2017].

Seguridad de información
[8] EURO WEEKLY NEWS. Policía destape importante fraude alimentario carne de
BS ISO / IEC 27000, Tecnología de la información - Técnicas de seguridad - vacuno en España. Noticias Euro Weekly, 2017. Disponible en:
Sistemas de gestión de seguridad de la información https://www.euroweeklynews.com/3.0.15/news/ de euros a la semana-noticias /
- Descripción y vocabulario España-noticias-en-Inglés / 144405-

© la British Standards Institution 2017 45

 PAS 96: 2017

policía-destape-importante-beef-comida-fraude-en-España [vista de julio de 2017]. [17] Gillam, CAREY. Mujer china arrestado en complot para robar la
tecnología de maíz de Estados Unidos. Kansas City: Grainews. Disponible a
partir de:
[9] ANTONY Gitonga. Naivasha vendedores ambulantes que utilizan formol para http://www.grainews.ca/daily/chinesewoman-arrested-in-plot-to-steal-us-corn-technology
conservar la leche. Estándar de papel. Disponible a partir de: [vista de julio de 2017].
http://www.standardmedia.co.ke/ artículo / 2000107380 /
Naivasha-vendedores-usando-formalina topreserve leche [vista de julio de 2017]. [18] INFORME La falsificación. Cómo identificar los vodkas de
falsificación de Glen. Alejandría, 2014. Disponible en:
http://thecounterfeitreport.com/product/322/ [vista de julio de 2017].
[10] ORGANIZACIÓN MUNDIAL DE LA SALUD Y ORGANIZACIÓN DE LA
ALIMENTACIÓN Y LA AGRICULTURA las Naciones Unidas. aspectos
toxicológicos de la melamina y ácido cianúrico: Informe de una reunión de [19] NewsCore. incursiones en alta mar aparecen los vinos de la cala
expertos en colaboración con la FAO. La OMS y la FAO, 2009. Disponible en: falsa australiano Jacob. Australia, 2011. Disponible en:
http://www.who.int/foodsafety/fs_management/ Exec_Summary_melamine.pdf, http://www.news.com.au/finance/offshoreraids-turn-up-fake-aussie-jacobs-creek-wines/storye6frfm1i-
[vista de julio de 2017]. [vista de julio de 2017].

[11] de la Convención de la Farmacopea de los Estados Unidos. fraude [20] El fraude financiero ACCIÓN Reino Unido. Restaurantes y comensales
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

alimentario base de datos versión 2.0. Disponible mediante suscripción en: dirigidos en la nueva estafa. Londres. Disponible a partir de:
http://www.foodfraud.org/#/food-fraud-databaseversion-20, [vista de julio de 2017]. http://www.financialfraudaction.org.uk/cms/assets/1/ estafa% 20alert% 20-%
20restaurants% 20web% 20% 20doc.pdf enlace [vista de julio de 2017].

[12] Food Standards Agency. Actualización sobre la manipulación

maliciosa con pan Kingsmill. Food Standards Agency, 2006. Disponible [21] Nacional de Fraude AUTORIDAD. indicador de fraude anual. Autoridad
en: http: // webarchive. Nacional de Fraude, 2013. Disponible en:
nationalarchives.gov.uk/20120206100416/http://food. https://www.gov.uk/government/uploads/system/ uploads / attachment_data
gov.uk/news/newsarchive/2006/dec/kingsmill [vista de julio de 2017]. / archivo / 206552 / NFA-anual-fraudindicator-2013.pdf [vista de julio de
2017].

[13] TOROK, THOMAS J. MD, Tauxe, ROBERT V. MD, MPH, WISE, [22] SMITH, MATT. Ciber criminales usan hackeado Deliveroo cuentas para
ROBERT P. MD, MPH; Livengood, JOHN R pedir comida en las tarjetas de las víctimas. Daily Telegraph, 2016.
MD, SOKOLOW, ROBERT, MAUVAIS, STEVEN, BIRKNESS, Kristen A, Disponible en:
Skeels, MICHAEL R PhD, MPH, Horan, MPH JOHN M MD, Foster, https://businessreporter.co.uk/2016/11/23/cyber-criminals-use-hackeddeliveroo-accounts-order-food
LAURENCE R, MD, MPH. [Julio 2017].
Un gran brote en la comunidad de salmonelosis causada por la contaminación
intencional de las barras de ensaladas restaurante.
American Medical Association, 1997. Disponible en: [23] Associated Press. con sede en Michigan Biggby café informa
http://www.cdc.gov/phlp/docs/forensic_epidemiology/% 20Materials incumplimiento de base de datos, es posible robo de información de los
adicionales / Artículos / Torok% 20et% 20al.pdf [vista de julio de 2017]. clientes. Empresa canadiense, 2015. Disponible en:
http://www.canadianbusiness.com/business-news/-Biggby-menaje para
informes basados ​en Michigan
[14] Q LOS ALIMENTOS. La manipulación de alimentos: [1989] cristal en alimentos para databasebreach-posible-robo-de-cliente-información [vista de julio de 2017].
bebés. Alemania. Disponible en: http: //www.qfood. eu / 2014/03/1989-vidrio-en-alimentos para

bebés / [vista de julio de 2017].

[24] FEDERAL Oficina de Investigación CYBER división. PIN Número

[15] ORR, James. Chantajista encarcelado por amenazas de bomba Tesco. The 160331-001 Smart Farming Puede Aumentar cibernético se dirigen
Guardian, 2008. Disponible en: http: // específicamente al de Estados Unidos Agricultura y la Alimentación
www.theguardian.com/uk/2008/jan/28/ukcrime [vista de julio de 2017]. Sector 3 1. marzo de 2016. Disponible en:
https://info.publicintelligence.net/FBISmartFarmHacking.pdf [vista de julio
de 2017].
[16] MURRAY, KEVIN D. escuchas electrónicas y espionaje
industrial. Nueva York: Murray Associates. Disponible en: https: // [25] CENTRO NACIONAL CIBERSEGURIDAD y nacionales ORGANISMO crimen. La
contraespionaje. amenaza cibernética a Reino Unido Empresas. Disponible a partir de:
worldsecuresystems.com/tscm-the-missing-businessschool-course.html https://www.ncsc.gov.uk/news/ NCSC-y-NCA-amenaza-informe-provee de
[vista de julio de 2017]. profundidad analysisevolving-amenaza [vista de julio de 2017].

46 © la British Standards Institution 2017

 PAS 96: 2017

[26] Centro para la Protección de la infraestructura nacional. Personal [37] INFORMACIÓN GLOBAL sistema de advertencia y (SMIA).
de Seguridad. Londres: IREC. Disponible a partir de: Disponible de: http://www.fao.org/ SMIA / Inglés / index.htm [Vista de
http://www.cpni.gov.uk/advice/ Personal-seguridad1 / [vista de julio de julio de 2017].
2017].
[38] Food and Drug Administration. Carver + choque Primer - Una visión general
[27] CENTRO DE SEGURIDAD National Cyber. 10 Pasos para la seguridad del método de Carver, más de choque para las evaluaciones de vulnerabilidad del
cibernética. NCSC, 2016. Disponible en: https: // sector alimentario. FDA,
www.ncsc.gov.uk/guidance/10-steps-cyber-security [vista de julio de 2017]. 2009. Disponible a partir de: http://www.fda.gov/downloads/ Alimentos /
FoodDefense / FoodDefensePrograms / UCM376929. pdf [vista de julio de
2017].
[28] CENTRO DE SEGURIDAD National Cyber. Contraseña Orientación: La
simplificación de su enfoque. Disponible a partir de: [39] ALIMENTOS Y BEBIDAS FEDERACIÓN. autenticidad de los alimentos: Cinco
https://www.ncsc.gov.uk/guidance/password-guidancesimplifying-your-approach pasos para ayudar a proteger su empresa contra el fraude alimentario. Londres: FDF,
[vista de julio de 2017]. 2013. Disponible en: https: // www. fdf.org.uk/food-authenticity.aspx [vista de julio de
2017].
[29] Gobierno de SM. Fundamentos cibernéticos - Proteja su empresa contra
las amenazas informáticas. Disponible en: https: // [40] ALIMENTACIÓN Y BEBIDA federación. abastecimiento sostenible: cinco
www.cyberaware.gov.uk/cyberessentials/ [vista de julio de 2017]. medidas para la gestión de riesgo de la cadena de suministro. Londres: Londres:
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

FDF, 2014. Disponible en: http: // www.fdf.org.uk/sustainable-sourcing.aspx [vista

de julio de 2017].
[30] Centro para la Protección de la infraestructura nacional. gestión
integral de riesgos de trabajo (Homero). Londres: IREC, 2012. Disponible
en: http://www.cpni.gov.uk/advice/Personnel-security1/ cuadrangular / [41] CENTRO DE SEGURIDAD National Cyber. 10 Pasos: Una responsabilidad
[vista de julio de 2017]. a nivel directivo. Disponible en: https: // www.
ncsc.gov.uk/guidance/10-steps-board-level-responsibility [vista de julio de
2017].
[31] Centro para la Protección de la infraestructura nacional. El
desarrollo de una cultura de seguridad de Londres: IREC [42] CENTRO DE SEGURIDAD National Cyber. 10 pasos: a nivel de placa
https://www.cpni.gov.uk/developingsecurity-culture [vista de julio de responsabilidad. NCSC, 2016. Disponible en:
2017]. https://www.ncsc.gov.uk/guidance/10-steps-board-levelresponsibility [vista
de julio de 2017].
[32] CREST. Disponible en: http: //www.crest-approved. org / [vista de
julio de 2017].
Otras lecturas
[33] Información de Seguridad de asociación para compartir cibernético (CISP)
BRC Norma Mundial de Seguridad Alimentaria. Consorcio Británico de venta al público.
Disponible a partir https://www.ncsc.gov.uk/cisp [vista de agosto de 2017].

British Retail Consortium (BRC). Cyber ​Security Toolkit: Una guía

[34] SCOTTISH Gobierno y FOOD Standards Agency. Peritaje grupo
para los minoristas. Disponible en: https: // final.pdf
asesor de las lecciones que se pueden aprender del incidente 2.013
brc.org.uk/media/120731/brc-cyber-security-toolkit_ [vista de julio de
carne de caballo.
2017].
2013. Disponible en: http://www.scotland.gov.uk/ Recursos / 0043 /
00437268.pdf [vista de julio de 2017].
Centro para la Protección de la infraestructura nacional. Productos
y servicios. Disponible a partir de: http://www.cpni.gov.uk/advice/
[35] World Health Organization. Red Internacional de Autoridades de
[vista de julio de 2017].
Inocuidad de Alimentos (INFOSAN). Disponible de: http://www.who.int/foodsafety/areas_work/
INFOSAN / es / [Vista de julio de 2017].

COMISIÓN EUROPEA. http://ec.europa.eu/ DGS /

health_consumer / Dyna / consumervoice / create_
[36] ORGANIZACIÓN AGRICULTURA Y LA ALIMENTACIÓN DE las Naciones
cv.cfm? cv_id = 891
Unidas. Sistema de prevención de emergencia
( EMPRES). Disponible de: http://www.fao.org/ foodchain /
Food Standards Agency. Principios para la prevención y respuesta a
empres-prevención-y-alerta temprana / es /
incidentes de alimentos. FSA, 2007. Disponible en:
[Vista de julio de 2017].
http://multimedia.food.gov.uk/multimedia/pdfs/
taskforcefactsheet23mar07.pdf [vista de julio de 2017].

© la British Standards Institution 2017 47

 PAS 96: 2017

INSTITUTO DE ALIMENTOS ciencia y tecnología. Buenas prácticas de

fabricación: Una guía para su gestión responsable. Wiley-Blackwell, 2013.

El servicio de seguridad MI5. nivel de amenaza actual en el Reino Unido. Disponible

a partir de: www.mi5.gov.uk [vista de julio de 2017].

CENTRO NACIONAL CIBERSEGURIDAD. Guia.

Disponible a partir de: https://www.ncsc.gov.uk/guidance [vista de julio de
2017].

ORGANIZACIÓN MUNDIAL DE LA SALUD. amenazas terroristas a la alimentación.

Directrices para el establecimiento y fortalecimiento de los sistemas de prevención y

respuesta. Cuestiones de Seguridad Alimentaria (OMS), 2008.

INTERPOL. Operación opson. Disponible en: http: //

copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

www.interpol.int/Crime-areas/Trafficking-in-illicitgoods-and-counterfeiting/Operations/Operations/
Operación-opson [vista de julio de 2017].

EUROPAL y la INTERPOL. Operación opson III 2013: Orientación de los

productos alimenticios falsificados y de baja calidad.
Disponible a partir de: http://www.ipo.gov.uk/ipenforce-opson. pdf [vista de julio
de 2017].

CIO de IDG (International Data Group - Global) 5 pasos para responder a

una violación de la seguridad. Disponible a partir de:
https://www.cio.com.au/article/580908/5-steps-respondsecurity-breach/ [vista
de agosto de 2017].

CampdenBRI Directriz 72 TACCP (Evaluación de amenazas y Puntos

Críticos de Control) - Una guía práctica.

48 © la British Standards Institution 2017

 British Standards Institution (BSI)

BSI es el organismo nacional independiente responsable de la preparación de las normas británicas y otras publicaciones relacionadas con

las normas, información y servicios. Presenta la vista del Reino Unido sobre las normas en Europa y en el ámbito internacional.

BSI se incorpora por la carta real. British Standards y otros productos de normalización son publicados por BSI Normas
Limited.

Las revisiones Información sobre las normas

British Standards y pasar se actualizan periódicamente mediante revisión o BSI ofrece una amplia gama de información sobre las normas nacionales,
modificación. Los usuarios de British Standards y pase deberán asegurarse europeas e internacionales a través de su Centro de Conocimiento.
de que poseen las últimas modificaciones o ediciones.

Tel: +44 (0) 20 8996 7004 Correo electrónico:

copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

Es el objetivo constante de BSI para mejorar la calidad de nuestros productos y knowledgecentre@bsigroup.com

servicios. Agradeceríamos si alguien encontrar una imprecisión o ambigüedad

BSI miembros suscriptores se mantienen al día con la evolución de las normas y
durante el uso de los estándares británicos informaría al secretario del comité
recibir importantes descuentos en el precio de compra de las normas. Para más
técnico responsable, la identidad de los que se puede encontrar en la cubierta
detalles de estos y otros beneficios de contactos de Administración de miembro.
interior delantera. Del mismo modo para pasar, por favor notifique a las partidas
del balance de Servicio al Cliente.
Tel: +44 (0) 845 086 9001 E-mail:
membership@bsigroup.com
Tel: +44 (0) 845 086 9001
Información sobre el acceso en línea a los estándares británicos y pasar a través de
BSI ofrece a los miembros BSI Participantes permanentemente un servicio de British Standards Online se puede encontrar en
actualización individuo llamado PLUS que garantiza que los suscriptores reciben http://shop.bsigroup.com/bsol
automáticamente las últimas ediciones de las normas británicas y aprobar.
Más información sobre British Standards está disponible en la web de BSI
en www.bsigroup.com/standards
Tel: +44 (0) 845 086 9001 E-mail:
plus@bsigroup.com
Derechos de autor

Todos los datos, software y documentación establecidos en los estándares

normas de compra británicos y otras publicaciones BSI son propiedad de y propiedad de BSI, o
alguna persona o entidad que posee los derechos de autor en la información
Usted puede comprar versiones PDF y copia impresa de las normas directamente
utilizada (por ejemplo, los organismos internacionales de normalización) ha
utilizando una tarjeta de crédito de la tienda de BSI en el sitio web www.bsigroup.com/shop.
formalmente autorizado tales información para BSI para la publicación y el uso
Además todos los pedidos de publicaciones estándares BSI, internacionales y
comercial. Salvo que se permita bajo el copyright, Diseños y Ley de 1988 no
extranjeras pueden dirigirse a las partidas del balance de Servicio al Cliente.
extracto puede ser reproducida Patentes, almacenada en un sistema de
recuperación o transmitida en cualquier forma o por cualquier medio - electrónico,
Tel: +44 (0) 845 086 9001 E-mail: fotocopia, grabación o de otro modo - sin el consentimiento escrito de BSI. Esto
orders@bsigroup.com no excluye el uso gratuito, en el curso de la aplicación de la norma, de los
detalles necesarios, tales como símbolos y tamaño, tipo o designaciones de
En respuesta a los pedidos de los estándares internacionales, BSI
calidad. Si estos datos se van a utilizar para cualquier otro propósito que la
suministrará la implementación estándar británico de la norma internacional
aplicación a continuación, se debe obtener el consentimiento previo por escrito
pertinente, a menos que se solicite lo contrario.
de BSI. Detalles y consejos pueden ser obtenidos del Copyright y Licencias
Departamento.

Tel: +44 (0) 20 8996 7070 Correo electrónico:

copyright@bsigroup.com
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution
 copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

www.bsigroup.com
BSI, 389 Chiswick High Road
Londres W4 4AL Reino Unido